MS-CHAP

Protocolo de autenticación para validar usuarios

MS-CHAP es la versión de Microsoft del Protocolo de autenticación por desafío mutuo (CHAP).

Versiones

El protocolo existe en dos versiones, MS-CHAPv1 (definido en RFC  2433) y MS-CHAPv2 (definido en RFC  2759). MS-CHAPv2 se introdujo con pptp3-fix, que se incluyó en Windows NT 4.0 SP4, y se agregó a Windows 98 en la "Actualización de seguridad de acceso telefónico a redes de Windows 98" ^[1] y a Windows 95 en la actualización "Actualización de seguridad y rendimiento de acceso telefónico a redes 1.3 para MS Windows 95". Windows Vista dejó de ofrecer soporte para MS-CHAPv1.

Aplicaciones

MS-CHAP se utiliza como una opción de autenticación en la implementación de Microsoft del protocolo PPTP para redes privadas virtuales . También se utiliza como una opción de autenticación con servidores RADIUS ^[2] que se utilizan con IEEE 802.1X (por ejemplo, seguridad WiFi mediante el protocolo WPA-Enterprise ). Además, se utiliza como la opción de autenticación principal del Protocolo de autenticación extensible protegido (PEAP).

Características

En comparación con CHAP, ^[3] MS-CHAP: ^{[4] [5]} funciona negociando el algoritmo CHAP 0x80 (0x81 para MS-CHAPv2) en la opción 3 de LCP, Protocolo de autenticación. Proporciona un mecanismo de cambio de contraseña controlado por el autenticador. Proporciona un mecanismo de reintento de autenticación controlado por el autenticador y define códigos de error devueltos en el campo de mensaje de paquete de error.

MS-CHAPv2 proporciona autenticación mutua entre pares al incorporar un desafío de pares en el paquete de respuesta y una respuesta del autenticador en el paquete de éxito.

MS-CHAP requiere que cada par conozca la contraseña en texto simple o un hash MD4 de la contraseña, y no transmite la contraseña a través del enlace. Por lo tanto, no es compatible con la mayoría de los formatos de almacenamiento de contraseñas .

Defectos

Se han identificado debilidades en MS-CHAP y MS-CHAPv2. ^[6] El cifrado DES utilizado en NTLMv1 y MS-CHAPv2 para cifrar el hash de contraseña NTLM permite ataques de hardware personalizados utilizando el método de fuerza bruta. ^[7]

A partir de 2012, MS-CHAP quedó completamente descompuesto. ^[8]

Después de Windows 11 22H2, con la activación predeterminada de Windows Defender Credential Guard, los usuarios ya no pueden autenticarse con MSCHAPv2. Los desarrolladores recomiendan pasar de las conexiones basadas en MSCHAPv2 a la autenticación basada en certificados (como PEAP-TLS o EAP-TLS). ^[9]

Véase también

• Cracker EFF DES

Referencias

1. "Notas de la versión de la actualización de seguridad de acceso telefónico a redes de Windows 98 (agosto de 1998)". Soporte . Microsoft. Agosto de 1998.
2. Atributos RADIUS específicos del proveedor de Microsoft. doi : 10.17487/RFC2548 . RFC 2548.
3. Protocolo de autenticación por desafío mutuo (CHAP) PPP. doi : 10.17487/RFC1994 . RFC 1994.
4. Extensiones CHAP de Microsoft PPP. doi : 10.17487/RFC2433 . RFC 2433.
5. Extensiones CHAP de Microsoft PPP, versión 2. doi : 10.17487/RFC2759 . RFC 2759.
6. Schneier, Bruce ; Mudge; Wagner, David (19 de octubre de 1999). "Criptoanálisis de las extensiones de autenticación PPTP de Microsoft (MS-CHAPv2)" (PDF) . schneier.com .
7. Eisinger, Jochen (23 de julio de 2001). "Explotación de agujeros de seguridad conocidos en las extensiones de autenticación PPTP de Microsoft (MS-CHAPv2)" (PDF) . penguin-breeder.org .
8. "Divide y vencerás: Cracking MS-CHAPv2 con un 100% de éxito". David Hulton . 2012. Archivado desde el original el 16 de marzo de 2016 . Consultado el 10 de marzo de 2013 .
9. "Consideraciones al usar Windows Defender Credential Guard - Seguridad de Windows". learn.microsoft.com . 27 de enero de 2023.