Diskussion:Challenge Handshake Authentication Protocol
Man-in-the-Middle
Die beschriebene Variante ist eine Kombination aus MitM und Downgrade Attack --80.136.96.43 16:01, 12. Aug. 2007 (CEST)
Verweis auf http://www.tcp-ip-info.de/security/chap.htm
Dieser Verweis funktioniert nicht mehr. --KaffeeMitSpeck (Diskussion) 22:13, 22. Jan. 2022 (CET)
Begründung für die Verwendung der Challenge
Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht. Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?
Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --Klinsebaer 10:32, 24. Jun. 2008 (CEST)
Der im Text enthaltene Hinweis, man könne es vermeiden, Shared Secrets im Klartext auf Servern zu speichern, ist m.E. falsch. Wenn sich Client und Server nicht einig sind darüber, dass das Shared Secret gehasht werden muss, um Challenge und Response zu berechnen, dann funktioniert das beschriebene Verfahren nicht. Und in der CHAP-Spezifikation ist diese Option nicht vorgesehen, Client und Server würden also etwas proprietäres, nicht-standardisiertes tun. Im übrigen wäre das Verfahren insofern witzlos, als dass lediglich auf beiden Seiten ein Shared Secret durch seinen Hash-Wert ersetzt würde. (nicht signierter Beitrag von 2001:A60:130F:D301:F80E:3855:5A74:B323 (Diskussion | Beiträge) 15:25, 17. Aug. 2014 (CEST))