Zum Inhalt springen

Diskussion:Challenge Handshake Authentication Protocol

Seiteninhalte werden in anderen Sprachen nicht unterstützt.
aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 24. Juni 2008 um 10:32 Uhr durch Klinsebaer (Diskussion | Beiträge). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Letzter Kommentar: vor 16 Jahren von Klinsebaer in Abschnitt Begründung für die Verwendung der Challenge

Man-in-the-Middle

Letzter Kommentar: vor 17 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Die beschriebene Variante ist eine Kombination aus MitM und Downgrade Attack --80.136.96.43 16:01, 12. Aug. 2007 (CEST)Beantworten

Verweis auf http://www.tcp-ip-info.de/security/chap.htm

Diesen Verweis halte ich für sehr unglücklich. Denn die Beschreibung von CHAP auf dieser Seite ist an mehreren Stellen sachlich falsch.

Begründung für die Verwendung der Challenge

Letzter Kommentar: vor 16 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht. Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?

Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --Klinsebaer 10:32, 24. Jun. 2008 (CEST)Beantworten

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Diskussion:Challenge_Handshake_Authentication_Protocol&oldid=47604248