Är PPTP verkligen trasig?

Ja, definitivt. CloudCracker-demonstrationen 2012 av Moxie Marlinspike visade att en angripare som fångar en PPTP MS-CHAP-v2-handskakning kan återställa användarens lösenord på ungefär 23 timmar för $200 i beräkning. Det finns ingen konfigurationsfix eftersom matematiken i protokollet är problemet. Microsoft själv rekommenderade att migrera från PPTP 2012.

Varför finns PPTP fortfarande i operativsystem?

Bakåtkompatibilitet för äldre företags-VPN som inte hade migrerats. Stora operativsystem har tagit bort det: macOS 2016, Windows Server 2022, senaste Windows 11-byggen 2024. 2026 är det allt mer sällsynt att stöta på PPTP och allt tydligare en föråldrad väg.

Kan jag använda PPTP om jag har ett starkt lösenord?

Nej. CloudCracker-attacken fungerar mot själva MS-CHAP-v2-handskakningen, inte lösenordets styrka. När en angripare väl fångar handskakningen – vilket är trivialt på ett fientligt nätverk – garanteras återhämtningen i princip inom <24 timmar oavsett lösenordets komplexitet.

Vad ska jag migrera mitt gamla PPTP VPN till?

WireGuard för nya distributioner (snabb, modern, formellt verifierad) eller IKEv2/IPsec om du behöver inbyggt OS-stöd utan tredjepartsklienter. Båda är dramatiskt säkrare än PPTP och stöds på alla nuvarande operativsystem.

Min router har PPTP — ska jag inaktivera den?

Ja. Om du inte aktivt använder den, stäng av PPTP-servern på din router. Att lämna en aktiverad PPTP-server exponerar en känd trasig autentiseringsslutpunkt för internet. De flesta moderna routrar stöder även OpenVPN eller WireGuard-servrar; använd dem istället.

PPTP förklarat: Det trasiga VPN-protokollet som fortfarande lurar i gamla konfigurationer

Q: Vad ska jag migrera mitt gamla PPTP VPN till?

WireGuard för nya distributioner (snabb, modern, formellt verifierad) eller IKEv2/IPsec om du behöver inbyggt OS-stöd utan tredjepartsklienter. Båda är dramatiskt säkrare än PPTP och stöds på alla nuvarande operativsystem.

Q: Min router har PPTP — ska jag inaktivera den?

Ja. Om du inte aktivt använder den, stäng av PPTP-servern på din router. Att lämna en aktiverad PPTP-server exponerar en känd trasig autentiseringsslutpunkt för internet. De flesta moderna routrar stöder även OpenVPN eller WireGuard-servrar; använd dem istället.

Point-to-Point Tunneling Protocol var det första inbyggda VPN-protokollet på Windows, som levererades 1996 med Windows NT 4.0. Det introducerade världen för konsument-VPN. Den bröts också definitivt 2012 - en forskare återställde en lösenfras på 23 timmar för $200. PPTP ska aldrig användas 2026 för något syfte. Här är vad det är, vad som gick fel och varför någonstans det fortfarande finns är ett säkerhetslarm.

Hela artikeltexten finns på engelska nedan.

Historien

Microsoft byggde PPTP 1996 som det ursprungliga VPN-protokollet för Windows NT 4.0. Ett leverantörskonsortium (Microsoft, Ascend Communications, 3Com, och andra) publicerade den formella specifikationen som RFC 2637 i juli 1999. PPTP levererades i varje Windows-version från Windows 95 och framåt som standard VPN-klient och server – i över ett decennium var det det mest använda VPN-protokollet på planeten, enbart för att det var det enklaste up.

Microsoft tog formellt bort den medföljande PPTP-servern från Windows Server 2022. PPTP-klienten fanns kvar i Windows 11 för bakåtkompatibilitet fram till 2024 och började sedan tas bort. macOS tog bort sin inbyggda PPTP-klient i macOS 10.12 Sierra (2016). De flesta moderna Linux-distributioner levererar fortfarande användarutrymmesklienten (pptp-linux) men med framträdande säkerhetsvarningar.

Hur PPTP fungerar

PPTP bär Point-to-Point Protocol (PPP) ramar inuti Generic Routing Encapsulation (GRE, protokoll nummer 47) tunnlar, med hantering av en T1CP tunnel 3 kanal och hantering av en T1CP tunnel 3. Autentisering använder Microsofts MS-CHAP-protokoll (ursprungligen v1, v2 läggs till senare). Kryptering använder Microsoft Point-to-Point-kryptering (MPPE) baserat på RC4.

Inget av dessa val har åldrats väl.

Varför PPTP är trasig

RC4-kryptering

8MPPE med en nyckel byggd på 12X8MP. RC4 i sig är ett strömchiffer som var toppmodernt 1987 och har ansetts vara trasigt i den kryptografiska gemenskapen sedan åtminstone 2013. 2015 års RFC 7465 förbjöd RC4 i TLS helt. Stora webbläsare slutade acceptera RC4 2015–2016. PPTP är det enda större VPN-protokollet som beror på det.

Ingen chiffertextautentisering

MPPE krypterar data men autentiserar den inte. Det finns ingen MAC- eller AEAD-konstruktion som bevisar att chiffertexten inte har manipulerats. En angripare som kan modifiera bytes under överföring kan förutsägbart modifiera klartexten — den klassiska bit-flipping attacken mot strömchiffer utan autentisering.

Samma nyckel i båda riktningarna

När MS-CHAP-v1 används, använder MPPE samma RC4-sessionsnyckel för kommunikationsflödet för båda riktningarna. En angripare kan XOR de två strömmarna tillsammans för att ta bort nyckelströmmen och återställa klartexten direkt. Detta är ett krypteringsmisstag i läroboken fixat i v2 men i stort sett aldrig med de äldre v1-installationerna som fortfarande finns i det vilda.

MS-CHAP-v1 är i grunden osäker

NT-lösenordshaschar kan trivialt extraheras från en fångad MS-CHAP-v1-växling. Verktyg för att göra detta har funnits i över 20 år.

MS-CHAP-v2 var helt trasig 2012

Den mest fördömande händelsen i PPTP:s historia. På DEF CON 20 i juli 2012 visade Moxie Marlinspike och David Hulton att återställning av en MS-CHAP-v2-referens är matematiskt likvärdig med en enda brute-force DES-nyckelåterställning. De byggde CloudCracker, en betald onlinetjänst som kunde återställa alla fångade MS-CHAP-v2-handskaknings underliggande NT-lösenordshash på ungefär 23 timmar för cirka 200 USD i beräkning.

Innebörden: en angripare som fångar en PPTP-inloggning kan effektivt garantera referenspriset för middagen inom en dag. Det finns ingen defensiv åtgärd som fixar detta inom MS-CHAP-v2 — matematiken i protokollet är fel.

Microsofts officiella svar efter CloudCracker-demonstrationen var att rekommendera kunder att helt sluta använda MS-CHAP-v2 och migrera till andra VPN-protokoll. PPTP utan MS-CHAP-v2 är i princip värdelös eftersom det inte finns något annat autentiseringsalternativ som stöds.

Vad som ska ersätta PPTP

WireGuard: modernt, snabbt, formellt verifierat. Rätt standard för nya distributioner.
IKEv2/IPsec: levereras inbyggt i moderna Windows, macOS, iOS. Bättre mobil roaming via MOBIKE.
OpenVPN: mer flexibel, kan gömma sig som HTTPS på TCP/443 för restriktiva nätverk.

Alla av dessa är dramatiskt säkrare än PPTP. Det finns inget scenario 2026 där PPTP är rätt svar.

Där du fortfarande kan stöta på PPTP

Gamla företags VPN-koncentratorer utan migreringsplan. Om ditt företag fortfarande ber dig att ansluta via PPTP är detta en riktig säkerhetsincident – eskalera det.
Billiga konsumentroutrar som levereras med PPTP-servern aktiverad som standard. Inaktivera det.
Äldre Linux-serverkonfigurationer med pptpd installerad från en självstudiekurs från 2012. Ta ur drift och ersätt med WireGuard.
VPN-protokollväljare dropdowns i vissa kommersiella VPN-appar. Välj bokstavligen vad som helst annat.

Den äldre lektionen

PPTP:s historia är standardhistorien för proprietära säkerhetsprotokoll byggda på 1990-talet — Microsoft prioriterade enkel integration framför kryptografisk rigor, ribban sattes av vad som var praktiskt i NT-design mot 4-attacker, och resultatet var 4-attacker0. ett decennium senare. Modern VPN-protokolldesign (WireGuard, IPsec ESP-lägena) lär sig uttryckligen av dessa misstag genom att kräva AEAD-chiffer, korrekt nyckelseparation, perfekt framåtriktad sekretess och tillfälliga nycklar. brådskande mål för säkerhetsmigrering.

Vanliga frågor

Är PPTP verkligen trasig?: Ja, definitivt. CloudCracker-demonstrationen 2012 av Moxie Marlinspike visade att en angripare som fångar en PPTP MS-CHAP-v2-handskakning kan återställa användarens lösenord på ungefär 23 timmar för $200 i beräkning. Det finns ingen konfigurationsfix eftersom matematiken i protokollet är problemet. Microsoft själv rekommenderade att migrera från PPTP 2012.
Varför finns PPTP fortfarande i operativsystem?: Bakåtkompatibilitet för äldre företags-VPN som inte hade migrerats. Stora operativsystem har tagit bort det: macOS 2016, Windows Server 2022, senaste Windows 11-byggen 2024. 2026 är det allt mer sällsynt att stöta på PPTP och allt tydligare en föråldrad väg.
Kan jag använda PPTP om jag har ett starkt lösenord?: Nej. CloudCracker-attacken fungerar mot själva MS-CHAP-v2-handskakningen, inte lösenordets styrka. När en angripare väl fångar handskakningen – vilket är trivialt på ett fientligt nätverk – garanteras återhämtningen i princip inom <24 timmar oavsett lösenordets komplexitet.
Vad ska jag migrera mitt gamla PPTP VPN till?: WireGuard för nya distributioner (snabb, modern, formellt verifierad) eller IKEv2/IPsec om du behöver inbyggt OS-stöd utan tredjepartsklienter. Båda är dramatiskt säkrare än PPTP och stöds på alla nuvarande operativsystem.
Min router har PPTP — ska jag inaktivera den?: Ja. Om du inte aktivt använder den, stäng av PPTP-servern på din router. Att lämna en aktiverad PPTP-server exponerar en känd trasig autentiseringsslutpunkt för internet. De flesta moderna routrar stöder även OpenVPN eller WireGuard-servrar; använd dem istället.