Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Authentification CHAP | Ping Identity
Fondamentaux de la Gestion des Identités
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust
Expand All | Collapse All

L’authentification CHAP, c’est quoi ?

 

CHAP (Challenge Handshake Authentication Protocol) est un protocole d’authentification de l’identité basé sur un défi et une réponse. Le client fournit un combinaison d’identifiants de sécurité CHAP ainsi qu’un « secret partagé » entre le demandeur (client) et l’authentificateur (serveur), et aucun mot de passe n’est exposé. Il exige que les deux entités prouvent leur identité par le biais d’un échange chiffré ou une « three-way handshake » (triple poignée de main). En cas de succès, l’authentification est terminée.  

 

Les demandes d’authentification du serveur au client se poursuivent de façon régulière après la poignée de mains (handshake) initiale, ce qui signifie que les identificateurs doivent changer à chaque nouvelle authentification. C’est l’une des raisons pour lesquelles CHAP est plus sécurisé que PAP (Password Authentication Protocol).

 

Fonctionnement

 

Avant que la procédure de handshake ne commence, le client et le serveur doivent avoir enregistré les identifiants de l’un et de l’autre, y compris leur secret partagé. Une fois qu’un lien PPP (Point-to-Point Protocol) est établi, le client se signale au serveur en envoyant uniquement le nom d’utilisateur (non le mot de passe) via la connexion. 

 

  • À cette étape, le serveur répond au nom d’utilisateur du client avec un paquet CHAP et demande un secret partagé au client. C’est la première partie de la three way handshake (triple poignée de mains).

  • Le client donne au serveur une réponse valide et chiffrée contenant le secret partagé. C’est la deuxième partie de la three way handshake.

  • Si la réponse du client correspond à ce que le serveur attendait, le serveur authentifie le client. C’est la troisième et dernière partie de la three way handshake.  

A graphic depicts the handshake agreement between a client and a server 1 Client asks for a challenge 2 Server asks client for shared secret and credentials 3 Client answers with encrypted credentials and shared secret 4 Server authenticates client 5 Ongoing authentication occursWhat is CHAP

Une présentation plus détaillée de chaque étape figure ci-dessous.  

 

Les deux entités créent et partagent des identifiants CHAP  

 

Comme indiqué ci-dessus, avant qu’un lien PPP soit établi, les identifiants CHAP des deux entités doivent figurer dans les fichiers de l’une et de l’autre. Un identifiant CHAP consiste en un nom d’utilisateur CHAP et un « secret » CHAP. Avec CHAP, aucun mot de passe traditionnel n’est utilisé ni transmis.  

 

Un lien est établi  

 

Une fois que les identifiants CHAP sont en place, le lien PPP initial peut être activé. À ce stade, le client saisit son nom d’utilisateur et son mot de passe dans l’application ou le site web. Le nom d’utilisateur (non le mot de passe) est envoyé au serveur pour demander un paquet de défi à celui-ci.  

 

L’authentification CHAP commence  

 

SERVEUR : Lorsque le serveur CHAP reçoit le nom d’utilisateur de la part du client, il lui renvoie un paquet de défi CHAP contenant un numéro aléatoire et une identité unique.  

 

CLIENT : Lorsque le client reçoit le défi, il doit renvoyer un calcul contenant le nombre aléatoire du serveur et l’identité unique ainsi que ses propres identifiants de sécurité CHAP, qui incluent le secret partagé.

 

SERVEUR : Si le calcul du client correspond au calcul du serveur, le client est authentifié.  

 

AUTHENTIFICATION CONTINUE : Après la première authentification, alors que le client est toujours engagé dans une session en ligne, il sera occasionnellement ré-authentifié par le serveur pour s’assurer que la connexion demeure sûre et sécurisée. Étant donné que les défis répétés exigent une réponse unique de la part du client, cela réduit le temps d’exposition à n’importe quelle attaque unique et réduit la menace des attaques répétées.  

 

Comparaison entre PAP et CHAP

 

PAP est plus sujet aux cyberattaques que CHAP car il n’est pas doté des mêmes protections que CHAP. Plus précisément, le protocole CHAP ne transmet pas de mots de passe, est doté d’un mécanisme d’authentification continue et utilise un calcul chiffré pour aider chaque entité à vérifier l’identité de l’autre.

 

Pourquoi le protocole CHAP est-il l’une des formes d’authentification disponibles les plus sûres ?

 

L’une des raisons pour lesquelles le protocole CHAP est si sûr, est qu’il utilise un mécanisme défi-réponse demandant au client et au serveur de partager un calcul secret avant de pouvoir identifier l’utilisateur. Aucun mot de passe n’est jamais transmis, ce qui réduit le risque d’usurpation de mot de passe. De plus, l’authentification continue fournit une couche supplémentaire de sécurité car le client doit fournir à chaque fois un nouveau calcul au serveur.

 

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.