MS-CHAP es la versión de Microsoft del protocolo de autenticación de contraseñas de cifrado por desafío mutuo CHAP.

Versiones

El protocolo existe en dos versiones, MS-CHAPv1 (definido en RFC 2433) y MS-CHAPv2 (definido en RFC 2759). MS-CHAPv2 se introdujo con pptp3-fix que se incluyó en Windows NT 4.0 SP4 y se agregó a Windows 98 en la "Lanzamiento de actualización de seguridad de acceso telefónico a redes de Windows 98"[1]​ y a Windows 95 en "Rendimiento de acceso telefónico a redes 1.3". & Actualización de seguridad para la actualización de MS Windows 95". Windows Vista dejó de admitir MS-CHAPv1.

Aplicaciones

MS-CHAP se utiliza como una opción de autenticación en la implementación de Microsoft del protocolo PPTP para redes privadas virtuales. También se utiliza como opción de autenticación con servidores RADIUS[2]​ que se utilizan con IEEE 802.1X (por ejemplo, seguridad Wifi mediante el protocolo Wi-Fi Protected Access). Además, se utiliza como la opción de autenticación principal del protocolo de autenticación extensible protegido (PEAP).

Características

En comparación con CHAP,[3]​ MS-CHAP:[4][5]​ funciona negociando el algoritmo CHAP 0x80 (0x81 para MS-CHAPv2) en la opción 3 de LCP, Protocolo de autenticación. Proporciona un mecanismo de cambio de contraseña controlado por un autenticador. Proporciona un mecanismo de reintento de autenticación controlado por el autenticador y define códigos de error devueltos en el campo de mensaje del paquete de error.

MS-CHAPv2 proporciona autenticación mutua entre pares al incorporar un desafío de pares en el paquete de respuesta y una respuesta del autenticador en el paquete de éxito.

MS-CHAP requiere que cada par conozca la contraseña en texto plano o un hash MD4 de la contraseña. y no transmite la contraseña a través del enlace. Como tal, no es compatible con la mayoría de los formatos de almacenamiento de contraseñas.

Defectos

Se han identificado debilidades en MS-CHAP y MS-CHAPv2.[6]​ El cifrado DES utilizado en NTLMv1 y MS-CHAPv2 para cifrar el hash de contraseña NTLM permite ataques de hardware personalizados utilizando el método de fuerza bruta.[7]

En 2012, MS-CHAP estaba completamente roto.[8]

Después de Windows 11 22H2, con la activación predeterminada de Windows Defender Credential Guard, los usuarios ya no pueden autenticarse con MSCHAPv2. Los desarrolladores recomiendan pasar de conexiones basadas en MSCHAPv2 a autenticación basada en certificados (como PEAP-TLS o EAP-TLS).[9]

Procedimiento

El procedimiento del protocolo es el siguiente:

  1. El servidor de acceso remoto o el servidor IAS remite al cliente de acceso remoto un desafío compuesto por un identificador de sesión y una cadena de desafío arbitraria.
  2. El cliente de acceso remoto manda una respuesta que contiene el nombre de usuario y un cifrado irreversible de la cadena de desafío, el identificador de sesión y la contraseña.
  3. El servidor de acceso remoto o el servidor IAS verifica la respuesta y, si es correcta, se autentican los datos del usuario.

Referencias

Enlaces externos

  • RFC 1994 – PPP Challenge Handshake Authentication Protocol (CHAP)
  • RFC 2433 – MS-CHAPv1
  • RFC 2548 – RADIUS Encapsulation of MS-CHAPv1 and MS-CHAPv2
  • RFC 2759 – MS-CHAPv2
  • Microsoft Knowledge Base Article KB189771 – MS Windows 98 Dial-Up Networking Security Upgrade Release Notes




Chap Typographica

Chap for PC / Mac / Windows 11,10,8,7 Free Download

ITSEC Games Attacking MSCHAP v2

MSCHAP

Am I Chap? Archives The Chap