a good thing!
CHAP (Challenge Handshake Authentication Protocol) est un protocole d’authentification de l’identité basé sur un défi et une réponse. Le client fournit un combinaison d’identifiants de sécurité CHAP ainsi qu’un « secret partagé » entre le demandeur (client) et l’authentificateur (serveur), et aucun mot de passe n’est exposé. Il exige que les deux entités prouvent leur identité par le biais d’un échange chiffré ou une « three-way handshake » (triple poignée de main). En cas de succès, l’authentification est terminée.
Les demandes d’authentification du serveur au client se poursuivent de façon régulière après la poignée de mains (handshake) initiale, ce qui signifie que les identificateurs doivent changer à chaque nouvelle authentification. C’est l’une des raisons pour lesquelles CHAP est plus sécurisé que PAP (Password Authentication Protocol).
Avant que la procédure de handshake ne commence, le client et le serveur doivent avoir enregistré les identifiants de l’un et de l’autre, y compris leur secret partagé. Une fois qu’un lien PPP (Point-to-Point Protocol) est établi, le client se signale au serveur en envoyant uniquement le nom d’utilisateur (non le mot de passe) via la connexion.
À cette étape, le serveur répond au nom d’utilisateur du client avec un paquet CHAP et demande un secret partagé au client. C’est la première partie de la three way handshake (triple poignée de mains).
Le client donne au serveur une réponse valide et chiffrée contenant le secret partagé. C’est la deuxième partie de la three way handshake.
Si la réponse du client correspond à ce que le serveur attendait, le serveur authentifie le client. C’est la troisième et dernière partie de la three way handshake.
Une présentation plus détaillée de chaque étape figure ci-dessous.
Comme indiqué ci-dessus, avant qu’un lien PPP soit établi, les identifiants CHAP des deux entités doivent figurer dans les fichiers de l’une et de l’autre. Un identifiant CHAP consiste en un nom d’utilisateur CHAP et un « secret » CHAP. Avec CHAP, aucun mot de passe traditionnel n’est utilisé ni transmis.
Une fois que les identifiants CHAP sont en place, le lien PPP initial peut être activé. À ce stade, le client saisit son nom d’utilisateur et son mot de passe dans l’application ou le site web. Le nom d’utilisateur (non le mot de passe) est envoyé au serveur pour demander un paquet de défi à celui-ci.
SERVEUR : Lorsque le serveur CHAP reçoit le nom d’utilisateur de la part du client, il lui renvoie un paquet de défi CHAP contenant un numéro aléatoire et une identité unique.
CLIENT : Lorsque le client reçoit le défi, il doit renvoyer un calcul contenant le nombre aléatoire du serveur et l’identité unique ainsi que ses propres identifiants de sécurité CHAP, qui incluent le secret partagé.
SERVEUR : Si le calcul du client correspond au calcul du serveur, le client est authentifié.
AUTHENTIFICATION CONTINUE : Après la première authentification, alors que le client est toujours engagé dans une session en ligne, il sera occasionnellement ré-authentifié par le serveur pour s’assurer que la connexion demeure sûre et sécurisée. Étant donné que les défis répétés exigent une réponse unique de la part du client, cela réduit le temps d’exposition à n’importe quelle attaque unique et réduit la menace des attaques répétées.
PAP est plus sujet aux cyberattaques que CHAP car il n’est pas doté des mêmes protections que CHAP. Plus précisément, le protocole CHAP ne transmet pas de mots de passe, est doté d’un mécanisme d’authentification continue et utilise un calcul chiffré pour aider chaque entité à vérifier l’identité de l’autre.
L’une des raisons pour lesquelles le protocole CHAP est si sûr, est qu’il utilise un mécanisme défi-réponse demandant au client et au serveur de partager un calcul secret avant de pouvoir identifier l’utilisateur. Aucun mot de passe n’est jamais transmis, ce qui réduit le risque d’usurpation de mot de passe. De plus, l’authentification continue fournit une couche supplémentaire de sécurité car le client doit fournir à chaque fois un nouveau calcul au serveur.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite