Hierbei handelt es sich um eine Methode bei der Sicherung einer WLAN-Verbindung. Es handelt sich um eine Erweiterung von EAP (was selbst für erweiterbares Authentifizierungsprotokoll steht). Die nennenswerte Eigenschaft von EAP ist, dass es verschiedenste Authentifizierungsmechanismen zulässt. Dies können Username-Passwort-Prüfungen sein, aber auch One-Time-Passwords (siehe 2-Faktor-Authentifizierung), Zertifikate (siehe SSL-Zertifikat) oder eine Challenge (CHAP). Diese werden innere EAP-Methoden genannt. Ein potentielles Sicherheitsrisiko für EAP ist aber, dass die zur Authentifizierung verwendeten Daten in Klartext übertragen werden. PEAP wurde mit der Intention entworfen die Verbindung zwischen Server (z.B. RADIUS) und Client bereits vor der Übertragung der Authentifizierungsinformationen zu verschlüsseln. Der Name steht für „protected“ EAP und die Authentifizierung des Servers erfolgt über ein public key certificate und die Verschlüsselung im Rahmen einer TLS-Session.
Folgende zwei Subtypen sind anzutreffen:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0/EAP-MSCHAPv2 ist das, was die meisten Menschen unter dem PEAP-Standard verstehen, und konnte sich für fast alle Plattformen durchsetzen. Das von Cisco entwickelte PEAPv1 sollte mehrere innere Authentifizierungsmethoden bereitstellen, konnte sich aber nicht durchsetzen. Nach EAP-TLS ist PEAPv0/EAP-MSCHAPv2 der weltweit meistgenutzte EAP-Standard. Ein relevanter Unterschied zeigt sich z.B. auch bei PEAP-EAP-TLS, das wie EAP-TLS arbeitet, aber einige Teile des Client-Zertifikates, die in EAP-TLS unverschlüsselt sind, verschlüsselt.
Zuletzt bearbeitet am 21. April 2020 von Adrian Kowar
