Challenge Handshake Authentication Protocol – RFC 1994 – Protocole d’authentification permettant d’empêcher les accès non autorisés. Le protocole CHAP authentifie et identifie l’entité distante. Le routeur ou le serveur d’accès détermine ensuite si l’utilisateur peut être autorisé à accéder au réseau. Il s’agit d’une authentification mutuelle basique s’appuyant sur un échange challenge/réponse.
Les étapes de l’échange (challenge/réponse) sont les suivantes :
- un nombre aléatoire de 16 bits est envoyé au client par le serveur d’authentification, ainsi qu’un compteur incrémenté à chaque envoi,
- la machine distante »hache » ce nombre, le compteur ainsi que sa clé secrète (le mot de passe) avec l’agorithme de hachage MD5 et le renvoie sur le réseau;
- le serveur d’authentification compare le résultat transmis par la machine distante avec le calcul effectué localement avec la clé secrète associée à l’utilisateur.
Si les deux résultats sont égaux, alors l’identification réussit, sinon elle échoue.
Le protocole CHAP améliore le protocole PAP dans la mesure où le mot de passe n’est plus transmis en clair sur le réseau.