Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
CHAP-Authentifizierung | Ping Identity
Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Was ist CHAP-Authentifizierung?

 

Das Challenge Handshake Authentication Protocol (CHAP) ist ein Challenge-Response-Protokoll (dt.: etwa Aufforderung-Antwort-Protokoll) zur Authentifizierung von Identitäten. Es ist ein Verfahren, das auf einer Kombination von CHAP-Sicherheitsnachweisen und einem „gemeinsamen Geheimnis“ (eng.: shared secret) zwischen dem Anfragenden (Client) und dem Authentificator (Server) basiert und bei dem kein Passwort preisgegeben wird. Beide Parteien müssen ihre Identität durch einen kryptografischen Austausch oder ein „Drei-Wege-Handshake“ nachweisen. Der Erfolg ist die Voraussetzung für den Abschluss der Authentifizierung.  

 

Die Authentifizierungsanfragen des Servers an den Client werden nach dem ersten Handshake regelmäßig fortgesetzt, d. h. die Kennungen müssen sich bei jeder neuen Authentifizierung ändern. Dies ist einer der Gründe, warum CHAP sicherer ist als das Password Authentication Protocol (PAP).

 

So funktioniert es

Vor dem Handshake-Verfahren müssen der Client und der Server die Anmeldedaten der jeweils anderen Partei, einschließlich des gemeinsamen Geheimnisses, abgespeichert haben. Sobald eine Point-to-Point Protocol (PPP)-Verbindung hergestellt ist, stupst der Client den Server an, indem er nur seinen Benutzernamen (nicht das Passwort) über die Verbindung sendet.  

 

  • An diesem Punkt antwortet der Server auf den Benutzernamen des Clients mit einem CHAP-Challenge-Paket und fragt den Client nach einem gemeinsamen Geheimnis. Dies ist der erste Teil des Drei-Wege-Handshakes.

  • Der Client liefert dem Server eine gültige, verschlüsselte Antwort, die das gemeinsame Geheimnis enthält. Dies ist der zweite Teil des Drei-Wege-Handshakes.

  • Wenn die Antwort des Clients mit den Erwartungen des Servers übereinstimmt, authentifiziert der Server den Client. Dies ist der dritte und letzte Teil des Drei-Wege-Handshakes.  

A graphic depicts the handshake agreement between a client and a server 1 Client asks for a challenge 2 Server asks client for shared secret and credentials 3 Client answers with encrypted credentials and shared secret 4 Server authenticates client 5 Ongoing authentication occursWhat is CHAP

Im Folgenden werden die einzelnen Schritte näher erläutert.  

 

Beide Instanzen erstellen und tauschen CHAP-Zugangsdaten aus  

 

Wie oben bereits erwähnt, müssen vor dem Aufbau einer PPP-Verbindung die CHAP-Zugangsdaten der beiden Unternehmen in ihren Dateien hinterlegt sein. Ein CHAP-Berechtigungsnachweis besteht aus einem CHAP-Benutzernamen und einem CHAP-„Geheimnis.“ Beim CHAP wird kein normales Passwort verwendet oder übertragen. 

 

Eine Verbindung wird hergestellt  

 

Wenn die CHAP-Zugangsdaten vorhanden sind, kann die erste PPP-Verbindung aktiviert werden. An diesem Punkt gibt der Kunde seinen Benutzernamen und sein Passwort in die Anwendung oder die Website ein. Der Benutzername (nicht das Passwort) wird an den Server gesendet, um ein Challenge-Paket anzufordern.  

 

Beginn der CHAP-Authentifizierung  

 

SERVER: Sobald der CHAP-Server den Benutzernamen vom Client erhält, antwortet er mit einem CHAP-Challenge-Paket, das eine zufällige Zahl und eine eindeutige ID enthält.  

 

CLIENT: Der Client erhält die Challenge und muss eine Berechnung zurücksenden, die sowohl die Zufallszahl und die eindeutige ID des Servers als auch seine eigenen CHAP-Sicherheitsdaten enthält, zu denen auch das gemeinsame Geheimnis gehört.

 

SERVER: Wenn die Berechnung des Clients mit der des Servers übereinstimmt, wird der Client authentifiziert.  

 

KONTINUIERLICHE AUTHENTIFIZIERUNG: Nach der ersten Authentifizierung wird der Client (noch während er sich in einer Online-Sitzung befindet) gelegentlich vom Server erneut authentifiziert, um sicherzustellen, dass die Verbindung sicher bleibt. Da diese wiederholten Challenges vom Client eine eindeutige Antwort anfordern, verkürzt sich die Zeit für einzelne Angriffe, und die Gefahr von Replay-Angriffen wird verringert.  

 

PAP vs. CHAP

 

PAP ist anfälliger für Cyberangriffe als CHAP, da es nicht über die integrierten Sicherheitsvorkehrungen verfügt, die CHAP bietet. CHAP überträgt vor allem keine Passwörter, verfügt über einen Mechanismus zur fortlaufenden Authentifizierung und verwendet eine verschlüsselte Berechnung, mit dem jede Instanz die Identität der jeweils anderen überprüfen kann.  

 

Was macht CHAP zu einer der sichersten verfügbaren Formen der Authentifizierung

 

Einer der Gründe, warum CHAP so sicher ist, ist die Verwendung eines Challenge-Response-Mechanismus, bei dem Client und Server einen geheimen Wert austauschen müssen, bevor der Benutzer authentifiziert werden kann. Es werden generell keine Passwörter übertragen, daher sinkt die Wahrscheinlichkeit von Datenschutzverletzungen über Passwörter. Darüber hinaus bietet die kontinuierliche Authentifizierung eine zusätzliche Sicherheitsebene, da der Client jedes Mal eine neue Berechnung für den Server durchführen muss.

 

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.