Názory k článku Rozděl a panuj: hrubou sílou na MS-CHAPv2 klíče

Pokud klient kontroluje, že certifikát serveru je správný, tak to pomůže - útočník by musel udělat MitM, aby se dostal k datům v TLS tunelu.

Nejaky odkaz na to proc je IPSec s PSK horsi nez tohle by byl? Diky

Je to zmíněno na konci původního Moxieho zápisku:

Pro offline crackování PPTP musí útočník odchytit "živý" MS-CHAPv2 handshake mezi klientem a serverm někde na síti, kdežto IPSEC-PSK VPN mu v "aggressive mode" na zeptání dá hash, který má crackovat (tj. použitelné kdekoliv na síti).

Dik. Ja jsem se trochu vydesil, ale to tim ze autor/prekladatel vynechal fact ze se mluvi o aggressive modu

Jak uz se resilo v jedne diskusi cca pred 2 mesici, v nekterych pripadech pouziti vicero ruznych PSK je u ISAKMP protokolu aggresive mode nutnosti -> nezbyva, nez pouzit IKEv2 a nebo aspon _nepouzivat PSK_. :-)

byty == bajty

jsi si jisty??
jak pak "16 bytů"(?Bajtu) dává "celkový prostor jenom 2^16"??

a pak nám zůstanou jenom 2 byty, které se doplní 5 nulami. Z toho vyplývá, že celkový prostor všech možností pro poslední klíč je „velký“ jenom 2^16

2 byty = 16 bitů, tj. 2^16 možností

Pokud narazite na pasaz "Jinými slovy – první DES klíč je prvních 7 bytů NTHash-e, druhý klíč je dalších 7 bytů NTHash-e, a pak nám zůstanou jenom 2 byty, které se doplní 5 nulami. Z toho vyplývá, že celkový prostor všech možností pro poslední klíč je „velký“ jenom 2^16.", tak jste se asi jen trosku prehledl. 2^16 neni celkovy prostor 16 bytu, ale "celkový prostor všech možností pro POSLEDNÍ klíč". Posledni klic se zklada ze 2 platnych bytu a 5 nulovych bytu. 2 byty = 16 bitu => 2^16.

jj, dost som sa pri citani povodneho @moxie zapisku pobavil.

+1 Taky mi přijde, že MS nějak často sebere nějaký state-of-the-art šifrovací algoritmus, trochu ho upraví (EEE?), čímž tam zavleče obrovskou bezpečnostní botu, a to vydá jako svoje nové nejvyšší zabezpečení :-)

... "a pak nám zůstanou jenom 2 byty, které se doplní 5 nulami" - toto opravdu vyzní tak jako, že tyto 2 byte mají obsahovat 5 nul.
Asi bylo v článku míněno "a pak nám zůstanou jenom 2 byty, které se do potřebných 7 byte rozšíří o 5 bytů obsahujích nuly"

Zdravím,

Windows XP a Vista jsou po smrti.
Máme nastaven radius s certifikáty i na windows 7 - jako testovací stroj.

Windows 8.1 bez potíží.

Windows 10 bez potíží.

Hezký den

Pánové, zeptám se jako úplný laik, týká se uvedený článek i původního CHAP protokolu?(http://en.wikipedia.org/wiki/ChallengeHandshake_Authentication_Protocol)