Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

  • Music:
Новости хакинга: какие-то добры молодцы поломали схему аутентикации MS-CHAPv2 вдребезги и пополам. И более того, тут же учредили платный сетевой сервис по взлому. Деловые ребята.

Очень интересное и внятное описание крэка. Схема MS-CHAPv2, кстати, и вправду какая-то удивительно несуразная. Хотелось бы знать, какой логикой руководились её создатели. Ну зачем там вообще симметричный DES, спрашивается?

Одно только не понимаю: почему авторы статьи так уверены, что из факта взлома следует, что протокол PPTP нужно немедленно выбросить на свалку истории. Вообще-то оный PPTP поддерживает много разных схем, включая клиентские сертификаты - сам когда-то настраивал развлечения ради. Да и PEAP-MS-CHAPv2 тоже, насколько я понимаю, вполне ещё сгодиться может.

Update: ага, понимаю. EAP и PEAP действительно облегчают проблему, но беда в том, что и сама схема шифрования MPPE, которой пользуется PPTP, небезопасна. Использование ассиметричных ключей на фазе аутентикации MPPE не отменяет.

P.S. Приснилось мне давеча красивое женское имя: Глюся. Женская форма от "глюк". Сейчас погуглил и обнаружил: оно вполне-таки существует.
Tags: computing, security
Subscribe

  • Про перехват SSL

    Спросили меня насчёт интервью, которое дал украинскому сайту "Гордон" какой-то бизнесмен Михаил Талан, утверждающий, что российские спецслужбы…

  • (no subject)

    Накатал в технобложик на модную тему изоляции: https://blog.mucius.tk/2020/09/dangers-of-air-gapped-networks.html

  • Разное сетевое

    У Микрософта нашли очередную дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся. Там, похоже,…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments