Auf der BlackHat in Las Vegas hat Moxie Marlinspike seinen neuen Cloud Dienst CloudCrack vorgestellt. Dieser ermöglichst mit speziel modifizierter Hardware das knacken von mitgeschnittenen MS-CHAPv2 verschlüsselten Verbindungen innerhalb von etwas 24 h und das für einen moderaten Preis von ca. 200 $.

MS-CHAPv2 wird heute noch recht oft zum verschlüsseln von VPN Verbindungen im privaten und geschäftlichen Umfeld eingesetzt, da es für fast alle Betriebssysteme inkl. solchen für mobile Geräte eine Implementierung gibt. Die Schwächen von MS-CHAPv2 sind zwar schon einige Zeit bekannt an der Verbreitung / Verwendung hat sich jedoch wenig geändert und bei vielen Produkten ist MS-CHAPv2 sogar noch der Standard.

Mit Hilfe des frei verfügbaren Linux Tools chapcrack kann zwischenzeitlich jeder die für das Cracken notwendigen Hashes aus einem Datenstrom extrahieren und dann mit dem Cloud Dienst den Schlüssel dafür berechnen. Jeder der heute also MS-CHAPv2 für kritische Komponenten einsetzt sollte dies zeitnah ändern.