Wer sich von außerhalb ins Hochschulnetz der WWU einwählen möchte, hat oft den Papp auf: Die Anwendung des dafür nötigen Virtual Private Network (VPN) Verfahrens ist alles andere als selbsterklärend. Hinzu kommen weitere Tücken, wie z.B. dass Verlagserver es oft nicht mitbekommen, wenn sich während einer Sitzung die IP-Adresse ändert, und trotz VPN den Zugang zu elektronischen Zeitschriften oder Bücher nicht freischalten.
Geht es um VPN, dann hat das Zentrum für Informationsversorgung jetzt den Pap ab: Seit dem 18.02.2013 steht das VPN-Authentifizierungsverfahrens PAP nicht mehr an der WWU zur Verfügung. Das ZIV hat den Pap abgeschaltet.
Was dies für WWU-Angehörige genau bedeutet und wie sie weiterhin von außerhalb ins Hochschulnetz kommen können, hat das ZIV für verschiedene Betriebssysteme dargestellt. Nur soviel: Das zukünftige, einzige vom ZIV unterstützte Authentifizierungsverfahren ist nun das Challenge Handshake Authentication-Protokoll (CHAP). Andere evtl. in der PPTP-Client-Software konfigurierbare Authentifizierungsverfahren (wie z.B. MS-CHAP-v1 und MS-CHAP-v2) werden ausdrücklich nicht unterstützt.
Für die Umstellung auf CHAP muss die Konfiguration der lokal installierten PPTP-Software entsprechend geändert werden, das ZIV erklärt wie.
Was das ZIV nicht erklärt: Der Grund für die Umstellung liegt in der höheren Sicherheit. Bei CHAP wird das Passwort verschlüsselt, bei PAP nicht, wie bei Wikipedia zu lesen ist:
Bei PAP wird das Passwort für die Authentifizierung unverschlüsselt zusammen mit der Benutzerkennung übertragen. Es ist damit durch passives Mithören ausspähbar. Dieser unsicheren Möglichkeit steht das komplexere Protokoll CHAP gegenüber. Bei dieser Methode wird durch Verschlüsselung und Entschlüsselung einer Zufallszahl der Zugang geprüft.
Aber auch CHAP kann geknackt werden, wie man seit Juli 2012 weiß, nur ist der Aufwand – noch – verhältnismäßig hoch.