3.1.3 Challenge/Response

On distingue 3 types de protocoles d'authentification utilisables par Windows NT:

• PAP (Password Authenticated Protocol)

  

Le mot de passe est transmis en clair sur le réseau

exemple: communications entre un NT et un Windows 95 ou 98

• SPAP(Secured PAP)

Le mot de passe est crypté et transmis sur le réseau. Mais le cryptage ne change pas et il suffit de présenter le mot de passe crypté pour être authentifié.

exemple: PPP, certains RAS (Remote Access Server) NT

• CHAP (Challenge Handshake Authenticated Protocol)

  

  CHAP élimine le problème de rejeu, possible avec SPAP.

  L'implémentation de Microsoft est MS-CHAP ou Challenge/Response.

Le Challenge/Response permet d'échanger des informations de manière sécurisée lors d'une connexion réseau.

Le schéma suivant décrit pas à pas, le fonctionnement du Challenge/Response:

1. Le client transmet son login au serveur.
2. Le serveur génère aléatoirement un nombre de 16 octets (le Challenge) et le transmet au client.
3. Le client chiffre le Challenge reçu grâce au password, puis transmet le résultat au serveur.
4. Le serveur interroge la base SAM pour obtenir le bon password.
5. Le serveur chiffre le Challenge avec le bon password.
6. Les 2 résultats sont comparés.
7. S'ils sont égaux, c'est que le password saisi est correcte, donc un jeton local est créé.

Avantages du Challenge/Response:

• le mot de passe ne se déplace pas sur le réseau
• le challenge (nombre aléatoire généré par le serveur) est différent à chaque fois: il est donc impossible de faire une attaque par rejeu.

Inconvénients et points faibles:

• Mécanisme connu et maîtrisé par les pirates (outils de crackage disponibles sur le net)
• Faiblesse de sécurité accrue lorsque les mots de passe sont compatibles Lan Manager
• En cas de changement de mot de passe, celui-ci est transmis à la base à travers le réseau via un Secure Channel (canal sécurisé)
• NT met en cache par défaut les 10 dernières connexions réussies (possibilité d'extraires les comptes en cache...)

Remarque:

Lors d'une installation de ISS (par exemple), il faut choisir entre PAP (authentification basique) et MS-CHAP. Si d'autres systèmes que ceux de Microsoft sont susceptibles de se connecter, il est possible qu'ils ne soient pas compatibles avec MS-CHAP.