MS-CHAP

Microsoft a mis au point une version spécifique de CHAP, baptisée MS-CHAP (Microsoft Challenge Handshake Authentication Protocol version 1, noté parfois MS-CHAP-v1), améliorant globalement la sécurité.

En effet, le protocole CHAP implique que l'ensemble des mots de passe des utilisateurs soient stockés en clair sur le serveur, ce qui constitue une vulnérabilité potentielle.

Ainsi MS-CHAP propose une fonction de hachage propriétaire permettant de stocker un hash intermédiaire du mot de passe sur le serveur. Lorsque la machine distante répond au défi, elle doit ainsi préalablement hacher le mot de passe à l'aide de l'algorithme propriétaire.

Le protocole MS-CHAP-v1 souffre malheureusement de failles de sécurité liées à des faiblesses de la fonction de hachage propriétaire.

MS-CHAP v2

La version 2 du protocole MS-CHAP, baptisée MS-CHAP-V2, a été définie en Janvier 2000 dans la RFC 2759. Cette nouvelle version du protocole définit une méthode dite « d'authentification mutuelle », permettant au serveur d'authentification et à la machine distante de vérifier leurs identités respectives. Le processus d'authentification mutuelle de MS-CHAP v2 fonctionne de la manière suivante :

Le serveur d'authentification envoie à l'utilisateur distant une demande de vérification composée d'un identifiant de session ainsi que d'une chaîne aléatoire.
Le client distant répond avec :
- son nom d'utilisateur,
- un haché contenant la chaîne arbitraire fournie par le serveur d'authentification, l'identifiant de session ainsi que son mot de passe,
- une chaîne aléatoire.
Le serveur d'authentification vérifie la réponse de l'utilisateur distant et renvoie &agave; son tour les éléments suivants :
- la notification de succès ou d'échec de l'authentification
- une réponse chiffrée sur la base de la chaîne aléatoire fournie par le client distant, la réponse chiffrée fournie et le mot de passe de l'utilisateur distant.
Le client distant vérifie enfin à son tour la réponse et, en cas de réussite, établit la connexion.