MS-CHAP

MS-CHAP es la versión de Microsoft del protocolo de autenticación de contraseñas de cifrado por desafío mutuo CHAP.

Versiones

[editar]

El protocolo existe en dos versiones, MS-CHAPv1 (definido en RFC 2433) y MS-CHAPv2 (definido en RFC 2759). MS-CHAPv2 se introdujo con pptp3-fix que se incluyó en Windows NT 4.0 SP4 y se agregó a Windows 98 en la "Lanzamiento de actualización de seguridad de acceso telefónico a redes de Windows 98"[1]​ y a Windows 95 en "Rendimiento de acceso telefónico a redes 1.3". & Actualización de seguridad para la actualización de MS Windows 95". Windows Vista dejó de admitir MS-CHAPv1.

Aplicaciones

[editar]

MS-CHAP se utiliza como una opción de autenticación en la implementación de Microsoft del protocolo PPTP para redes privadas virtuales. También se utiliza como opción de autenticación con servidores RADIUS[2]​ que se utilizan con IEEE 802.1X (por ejemplo, seguridad Wifi mediante el protocolo Wi-Fi Protected Access). Además, se utiliza como la opción de autenticación principal del protocolo de autenticación extensible protegido (PEAP).

Características

[editar]

En comparación con CHAP,[3]​ MS-CHAP:[4][5]​ funciona negociando el algoritmo CHAP 0x80 (0x81 para MS-CHAPv2) en la opción 3 de LCP, Protocolo de autenticación. Proporciona un mecanismo de cambio de contraseña controlado por un autenticador. Proporciona un mecanismo de reintento de autenticación controlado por el autenticador y define códigos de error devueltos en el campo de mensaje del paquete de error.

MS-CHAPv2 proporciona autenticación mutua entre pares al incorporar un desafío de pares en el paquete de respuesta y una respuesta del autenticador en el paquete de éxito.

MS-CHAP requiere que cada par conozca la contraseña en texto plano o un hash MD4 de la contraseña. y no transmite la contraseña a través del enlace. Como tal, no es compatible con la mayoría de los formatos de almacenamiento de contraseñas.

Defectos

[editar]

Se han identificado debilidades en MS-CHAP y MS-CHAPv2.[6]​ El cifrado DES utilizado en NTLMv1 y MS-CHAPv2 para cifrar el hash de contraseña NTLM permite ataques de hardware personalizados utilizando el método de fuerza bruta.[7]

En 2012, MS-CHAP estaba completamente roto.[8]

Después de Windows 11 22H2, con la activación predeterminada de Windows Defender Credential Guard, los usuarios ya no pueden autenticarse con MSCHAPv2. Los desarrolladores recomiendan pasar de conexiones basadas en MSCHAPv2 a autenticación basada en certificados (como PEAP-TLS o EAP-TLS).[9]

Procedimiento

[editar]

El procedimiento del protocolo es el siguiente:

  1. El servidor de acceso remoto o el servidor IAS remite al cliente de acceso remoto un desafío compuesto por un identificador de sesión y una cadena de desafío arbitraria.
  2. El cliente de acceso remoto manda una respuesta que contiene el nombre de usuario y un cifrado irreversible de la cadena de desafío, el identificador de sesión y la contraseña.
  3. El servidor de acceso remoto o el servidor IAS verifica la respuesta y, si es correcta, se autentican los datos del usuario.

Referencias

[editar]
  1. «Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998)». Support (en inglés). Microsoft. Agosto 1998. 
  2. Microsoft Vendor-specific RADIUS Attributes, doi:10.17487/RFC2548, RFC 2548 . (en inglés)
  3. PPP Challenge Handshake Authentication Protocol (CHAP), doi:10.17487/RFC1994, RFC 1994 . (en inglés)
  4. Microsoft PPP CHAP Extensions, doi:10.17487/RFC2433, RFC 2433 . (en inglés)
  5. Microsoft PPP CHAP Extensions, Version 2, doi:10.17487/RFC2759, RFC 2759 . (en inglés)
  6. Schneier, Bruce; Mudge; Wagner, David (19 de octubre de 1999). «Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2)». schneier.com (en inglés). 
  7. Eisinger, Jochen (23 de julio de 2001). «Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2)». penguin-breeder.org (en inglés). 
  8. «Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate» (en inglés). David Hulton. 2012. Archivado desde el original el 16 de marzo de 2016. Consultado el 11 de enero de 2024. 
  9. «Considerations when using Windows Defender Credential Guard - Windows Security». learn.microsoft.com (en inglés). 27 de enero de 2023. Consultado el 11 de enero de 2024. 

Enlaces externos

[editar]