Domanda:
In che modo nessuna password è più sicura di nome utente + password?
luchonacho
2018-08-28 16:37:23 UTC
view on stackexchange narkive permalink

Contesto: ho un laptop fornito dalla mia organizzazione. Sto cercando di connettermi a eduroam, ma non riesco a farlo utilizzando il laptop della mia organizzazione. Quando utilizzo un personal computer, mi chiede un nome utente e una password, proprio come una rete wifi standard richiede la password.

Ho trovato il testo seguente nella politica IT interna. Ho bisogno di aiuto per capirlo. Per me è totalmente controintuitivo :

Usare hotspot Wi-Fi pubblici di hotel, bar e bar

potresti essere in grado di collegare il tuo laptop per utilizzare il WiFi negli hotel, nei bar, ecc., Ma dipende da come è impostato il WiFi:

  • se è "aperto" (cioè non hai bisogno di alcuna password per connetterti) allora dovresti va bene
  • se è impostato in modo che ti serva una password per connetterti al WiFi (e questa password ti è stata data dalla struttura) allora di nuovo, dovresti essere OK
  • se, tuttavia, puoi connetterti facilmente al WiFi ma devi inserire un nome utente e / o una password nel software del browser web, non sarai in grado di accedere al servizio.

La sicurezza standard in base ai quali sono costruiti i nostri laptop, significa che non possono connettersi direttamente a una connessione Internet "sporca" o insicura: tutto avviene tramite la connessione VPN sicura nella nostra rete IT. Quindi l'utente non può accedere alla pagina web in cui avrebbe bisogno di digitare una password, senza prima connettersi alla VPN e non può connettersi alla VPN senza prima accedere alla pagina web.

Quindi, fondamentalmente, posso usare il laptop del mio lavoro in un bar dove la rete è condivisa da chiunque (contro il quale è stato scritto così tanto, ad esempio qui). Posso anche usarlo in una rete con solo sicurezza tramite password, per la quale esiste anche una guida WikiHow (!) Sull'hacking. Eppure, non posso usarlo in una rete che richiede sia nome utente che password, che sicuramente deve essere molto più difficile da hackerare.

Qual è questo senso di sicurezza che è alla base della mia organizzazione? Mi manca qualcosa?

Penso che stiano cercando di metterti in guardia dagli attacchi di phishing.Alcune reti richiedono l'immissione di un nome utente e di una password nella propria schermata di accesso, tali elementi possono essere successivamente utilizzati per attacchi di riutilizzo della password e altre attività dannose.Non credo che stiano parlando di qualcosa come WPA2 Enterprise Credentials che immagino vada benissimo da usare.
Quanto segue non risponde alla tua domanda, ma risolverà il tuo problema: Puoi connetterti a eduroam utilizzando "[email protected]" con il tuo nome utente normale (senza specificatori di dominio "backslash", quindi non "EXAMPLE \ [email protected]") e password, fornito direttamente come nome utente e password WiFi.
"La rete è condivisa da chiunque" ad es.la rete.Internet è insicuro.Avere qualcuno che non permetta a estranei casuali di non utilizzare la connessione Internet, non riguarda la tua sicurezza, ma la loro.
Non hanno detto che era o non era sicuro, hanno solo detto che non avrebbe funzionato ...
Non sarei sorpreso se questo tipo di promemoria riguardasse il phishing, nel senso più ampio del termine: richiedi un nome utente e una password anche senza alcun contesto e spesso ne avrai uno.
Parole chiave, "nel software del browser web".
Sono estremamente confuso da questa domanda.La tua organizzazione offre eduroam in sede?In caso contrario, cosa ti fa pensare che le tue credenziali ti consentiranno di connetterti ad esso?Eduroam è tipicamente un accordo reciproco, ovvero lo offri ad altri nel tuo istituto in modo che i tuoi utenti possano usarlo altrove.Ciò significa che è facile da configurare: assicurati che il tuo dispositivo possa accedervi presso il tuo istituto, dove puoi chiedere aiuto al tuo reparto IT e la stessa configurazione funzionerà (o almeno dovrebbe) funzionare ovunque.Se non lo hai localmente, qualcosa è rotto.
@E.P.Lavoro part time e studio part time.Pertanto, ho accesso al computer della mia azienda e anche alle credenziali Internet della mia università.Niente di strano qui.Voglio solo usare il laptop del mio ufficio quando sono all'università, per e-mail e cose del genere.
Penso che il titolo della domanda sia piuttosto fuorviante.Non è "nessuna password" contro "nome utente + password", è "captive portal" contro "wifi aperto"
@BgrWorker Non è fuorviante se si considera che non conoscevo il concetto di captive portal.Se l'avessi saputo, questa domanda non sarebbe esistita.
Il titolo mi ha fatto pensare a Remote Desktop;nessuna password = nessuna connessione.Le password possono essere indovinate.AFAIK, senza alcuna password non è possibile stabilire un RD.
Ti chiedi "in che modo la password è meno sicura di nessuna password?", Ma hai commesso un errore nel pensare che "nessuna password" è mai un'opzione.Anche su connessioni Wi-Fi aperte, il tuo computer memorizza e utilizza una password più lunga e più sicura di quanto sarebbe possibile per te ricordarti nella sua configurazione VPN.
@luchonacho è ancora fuorviante, solo involontariamente.
Questo deve essere il titolo della domanda peggiore e più fuorviante su tutto lo stackexchange.Inoltre, la spiegazione IT è chiara e dovresti probabilmente provare a leggerla di nuovo.
Otto risposte:
#1
+168
gowenfawr
2018-08-28 16:58:44 UTC
view on stackexchange narkive permalink

Hanno configurato i laptop per attivare una connessione VPN e parlare con la "base di casa" solo dopo essere entrati in rete. Ciò significa che se esiste un "captive portal" locale che richiede di inserire le credenziali, non sarai in grado di usarlo, perché ciò richiederebbe eludere la VPN.

(È una cosa di pollo e uova . Nessuna VPN, nessuna capacità di raggiungere il portale - nessun portale, nessuna capacità di avviare la VPN!)

È più sicuro perché garantiscono che, indipendentemente dalla connessione che hai, qualsiasi traffico di rete invii attraverso la rete della tua azienda, i controlli della tua azienda e non è soggetto a intercettazione o manipolazione da parte di altre parti.

Sfortunatamente rompe il caso del Wireless con un "captive portal", ma lo consente case abbasserebbe la loro sicurezza consentendo alla tua macchina di parlare con macchine arbitrarie direttamente piuttosto che attraverso la VPN.


Il servizio "eduroam" che menzioni nel commento afferma esplicitamente che lo fanno non dispone di un captive portal, ma utilizza WPA-Enterprise basato su 802.1X:

eduroam utilizza un portale web per autenticazione?

No. I meccanismi di autenticazione basati su Web Portal, Captive Portal o Splash-Screen non sono un modo sicuro per accettare le credenziali eduroam .... eduroam richiede l'uso di 802.1X ...

802.1X è il tipo di autenticazione che devi inserire per configurare la tua macchina per connettersi alla rete, quindi questo caso è quello che la tua politica IT afferma esplicitamente che consentono:

se è impostato in modo che tu abbia bisogno una password per connetterti al WiFi (e questa password ti viene data dalla struttura) poi di nuovo, dovresti essere OK

In effetti, eduroam sembra essere molto ben allineato con il tuo IT policy - entrambi diffidano della "cattiva sicurezza" imposta dai captive portal.


In base alla modifica alla domanda originale:

Sto cercando di connettermi a eduroam, ma non posso farlo utilizzando il laptop della mia organizzazione. Quando utilizzo un personal computer, mi chiede un nome utente e una password, proprio come una rete wifi standard chiede la password.

Questo mi suggerisce che il laptop della tua organizzazione semplicemente non ti sta chiedendo per connettersi a nuove reti nello stesso modo in cui lo è il tuo personal computer. Ciò potrebbe essere dovuto a diversi sistemi operativi o diversi criteri applicati ai due computer. Potresti semplicemente chiedere aiuto al tuo gruppo IT per configurare 802.1X per la connessione alla rete eduroam; l'utilizzo di quella parola chiave renderà loro chiaro che stai tentando di fare qualcosa che consentono.

Grazie !, ma la rete che voglio connettere non ha un tale captive portal, per quanto ne so.È una rete [eduroam] (https://www.eduroam.org/).Richiede un nome utente e una password ** anche prima ** di connettersi.Il mio personal computer mi chiede solo un / pw prima di connettersi, come qualsiasi altro wifi chiede solo la password.
@luchonacho Questo non è trattato nel testo che hai pubblicato.Vedi "se tuttavia riesci ** prontamente a connetterti al WiFi ma devi inserire un nome utente e / o una password nel tuo browser web **, allora non sarai in grado di accedere al servizio."
@Qwertie corretto.Aggiornata la risposta.Pensavo che il contesto non fosse importante, ma beh, potrebbe essere importante!
Ma la politica dice solo password e non nome utente e password.
Nome utente @luchonacho vs nome utente + password non è importante.Quello che stanno cercando di dire è che la rete deve darti un accesso non manomesso non appena sei in grado di connetterti ad essa.Nome utente e password di Eduroam fanno questo, ma molte Wi-Fi pubbliche tentano di dirottare le tue richieste http per mostrarti una pagina di accesso.Non molte reti wifi richiedono un nome utente e una password durante la connessione, motivo per cui probabilmente si sono dimenticati di menzionarlo come metodo sicuro.
@gowenfawr, Se il backend dell'802.11x è RADIUS, è improbabile che la VPN della sua organizzazione lo supporti o lo consenta.È un protocollo a livello di applicazione (porta TCP / UDP 1812).
@NathanGoings in 802.1x con RADIUS, il richiedente (client) parla all'autenticatore (AP) utilizzando EAP e l'autenticatore comunica al server di autenticazione utilizzando RADIUS.Quindi il cliente non ha mai bisogno di parlare RADIUS;i pacchetti EAP fanno parte del protocollo 802.11 WPA / WPA2.E come parte del livello di trasporto 802.11, sono pre-rete IP e non sono soggetti alla VPN.
@gowenfawr, Hai ragione!Mi ero completamente dimenticato di quella parte.
Eduroam è notoriamente complicato da configurare (sul client), a causa di come diversi provider (= Università) scelgono di accettare le credenziali.In teoria dovrebbe essere standardizzato e banale da configurare;in pratica alcuni fornitori di Eduroam devono fornire manuali PDF multipagina ai loro clienti per guidarli attraverso il processo di installazione per ogni sistema operativo, e * ancora * gli utenti si confondono (anche gli utenti esperti).L'incapacità di OP di connettersi potrebbe non avere nulla a che fare con il laptop aziendale e più con l'implementazione del provider.
@KonradRudolph, la tua affermazione è completamente sbagliata.Eduroam non è notoriamente complicato da configurare, l'unica parte che può essere complicata è la configurazione iniziale del supplicant EAP 802.1X del sistema operativo (che è quindi vera per qualsiasi connessione 802.1X) ma anche quella può essere semplice se l'organizzazione utilizza undecente soluzione di onboarding.Sebbene ci siano molti fornitori diversi come parte di eduroam, la tua autenticazione dovrebbe sempre essere trasmessa in modo sicuro (ad esempio il tunnel TLS) al tuo istituto di origine, quindi il processo non dovrebbe cambiare per un utente da un provider all'altro.
@YLearn Non dovrebbe cambiare, correggere.Ma in realtà * lo fa *.In passato sono stato membro di diversi istituti affiliati a università europee e posso garantire che il processo di creazione di Eduroam è stato molto diverso tra loro.Inoltre, questo non si basa solo sulla mia esperienza personale, ma è una lamentela estremamente comune.
@KonradRudolph, se stai parlando di diverse istituzioni che utilizzano diversi metodi / credenziali di autenticazione, allora sì, ogni istituzione determina il metodo migliore per i * propri utenti * come è sempre stato il caso (con o senza eduroam).Tuttavia, l'autenticazione di un singolo utente non cambia quando si visitano altri istituti membri perché viene inviata tramite proxy all'istituto di origine.Un utente che si sposta da un istituto all'altro è in genere fluido e semplice.Di nuovo, il tuo "reclamo" non riguarda eduroam, ma riguarda la configurazione del supplicant EAP 802.1X.
@YLearn Non mi sto lamentando, sto * spiegando * perché OP ha difficoltà nonostante l'utilizzo di una rete con una configurazione (un po ') standardizzata.
@KonradRudolph, che non ha senso.La maggior parte delle aziende utilizza 802.1X almeno per il wireless, se non sia wireless che cablato.La configurazione 802.1X sarebbe probabilmente già parte di una tale configurazione standardizzata.
@YLearn Di nuovo, la configurazione 802.1X non è un problema di Eduroam (almeno non esclusivamente).La configurazione di Eduroam è probabilmente completamente estranea alla configurazione della società OP.In effetti, per quanto posso dire 802.1X non è nemmeno necessariamente richiesto per Eduroam (solo per connettersi come ospite a un istituto ospitante * diverso *).
@KonradRudolph, di nuovo, non hai senso per me.L'unico problema di configurazione di eduroam per i dispositivi client è il supplicant EAP 802.1X.A cos'altro potresti fare riferimento in quanto non è richiesta alcuna altra configurazione del client.Ma sono d'accordo sul fatto che questa sia ora una discussione sulla "traccia del coniglio" che non è più utile per la domanda dell'OP.
@gowenfawr in che modo la tua risposta è in linea con questa affermazione della politica ** "se è impostata in modo che ti serva una password per connetterti al WiFi (e questa password ti è stata fornita dalla struttura) allora di nuovo, dovresti essere OK"**?
@Rsf questa dichiarazione descrive l'autenticazione integrata WPA / WPA2.Il caso più comune è solo password, ma è funzionalmente equivalente a nome utente + password EAP.La configurazione può variare, ma funziona comunque durante l'handshake WPAx e non sarà inibita da un requisito VPN, a differenza del metodo captive portal.Quindi, in breve, quando dicono "password", significa "autenticazione WPA / WPA2, che è * solitamente * password, ma potrebbe essere * nome utente + password *" come sta sperimentando l'OP qui.
Sono un utente abituale di eduroam e posso testimoniare che è stato un problema configurarlo in passato, come afferma @KonradRudolph.Tuttavia sembra essere migliorato negli ultimi anni.Anche se la difficoltà potrebbe non essere dovuta a eduroam * di per sé *, all'utente finale non interesserà che sia l'implementazione del proprio istituto a rendere la vita difficile, tutto ciò che vedono è "eduroam" e una serie di istruzioni in cui i nomi dei campi non sono mai del tuttosembrano corrispondere esattamente (e ho visto un requisito per aggiungere manualmente anche i certificati)
La complessità di eduroam deriva in parte dall'EAP che ha così tanti sotto-protocolli tra cui scegliere, in parte dagli amministratori di sistema che giocano a Protocol Lego, in parte dalle interfacce client che cercano di essere completamente generiche e oggettive invece di ottimizzare per il caso più popolare ... Se l'home org offrePEAP-MSCHAPv2 la configurazione può essere indolore al 100% (provo il mio su Windows, iPad, Android.) Ma se l'home org _wants_ pain (es. Certificati client) ci sarà dolore.Infine, come ha notato YLearn, dipende strettamente dall'organizzazione _home_, mai dall'org _visited_, quindi non è necessario riconfigurare ogni viaggio.
Il captive portal ** è ** un attacco man-in-the-middle al tuo traffico di rete.Ha uno scopo più importante di inserire una password o fare clic su "Accetto i termini e le condizioni", ma digitare stackoverflow.com e ottenere qualcos'altro costituisce un vero e proprio attacco.Le tue difese non possono distinguere "l'attacco che vuoi" da "l'attacco che non vuoi", quindi entrambi sono bloccati.
#2
+15
Connor J
2018-08-28 17:06:57 UTC
view on stackexchange narkive permalink

Quando ti connetti per la prima volta ad alcuni siti Web, è necessario che tu fornisca loro un indirizzo email o qualche altro dato prima di poter utilizzare il loro servizio, questa pagina viene definita captive portal.

Il laptop aziendale è configurato in modo che quando rileva una connessione Internet, si riconnette alla VPN aziendale e quindi si riconnette da lì. Nella maggior parte delle situazioni, (scenari 1 e 2 nella tua domanda) puoi connetterti al Wi-Fi con una password, o aprire il Wi-Fi, entrare nella tua VPN aziendale e poi riconnetterti, il tutto utilizzando il servizio del Wi-Fi a cui ti stai connettendo.

Tuttavia, nella situazione 3, potresti atterrare su una pagina web del captive portal, che richiede di inserire prima alcuni dati per connetterti. Tuttavia, il tuo laptop è progettato in modo tale che devi prima connetterti alla VPN aziendale. Ciò significa che non puoi connetterti alla VPN perché non hai inserito alcuna credenziale su un captive portal e non puoi inserire le credenziali perché non sei ancora connesso alla VPN.

Spero che questo risponda alla tua domanda un po 'meglio del mio commento precedente. Lascia un commento qui e lo aggiornerò se hai ulteriori domande.

modifica: solo per aggiungere il motivo per cui un'azienda potrebbe avere questo tipo di configurazione è perché possono garantire che tutto il traffico passi attraverso la loro VPN e consente loro di applicare altre politiche, ad es. Uso accettabile, ecc. Per ulteriori informazioni, vedere la risposta di @gowenfawr in quanto l'ha spiegato molto bene.

#3
+12
Allen Howard
2018-08-28 23:15:36 UTC
view on stackexchange narkive permalink

Ci sono già buone risposte sulla comprensione della politica, ma parlerò brevemente della sicurezza di eduroam e dei profili di connessione per assicurarmi che tutte le basi siano coperte in termini di risposta. Ho lavorato per due università che offrono eduroam e ci ho dedicato molto tempo.

Eduroam è una rete globale di università e altre istituzioni educative che collaborano tra loro per consentire ai membri di un'istituzione di accedere a risorse di rete presso un altro istituto partner.

L'autenticazione a eduroam viene effettuata tramite il protocollo 802.1x (con MS-CHAP v2 di solito l'autenticazione di fase 2, almeno nella mia esperienza). È qui che l'AP / controller utilizza RADIUS per parlare con il server RADIUS dell'istituto di appartenenza. Supponendo che tutto sia a posto, il client può connettersi.

La crittografia dei pacchetti wireless dalla macchina all'AP viene eseguita con crittografia WPA2 (aziendale, da cui l'autenticazione 802.1x).

Uno dei maggiori problemi che ho riscontrato con i profili di connessione eduroam è quando il sistema operativo invia automaticamente le credenziali dell'utente connesso (questo è l'impostazione predefinita in Windows 7 e versioni precedenti ... Penso che l'abbiano cambiato in Windows 8). Ho anche riscontrato un problema in cui Windows a volte tenta di connettersi con l'account della macchina, che di solito non è autorizzato dall'università (solo gli account utente lo sono).

Una volta connesso a eduroam, la tua azienda eseguirà il tunnel i dati tramite il loro provider VPN. A seconda di come l'istituto a cui stai tentando di connetterti ha configurato la rete eduroam, questo potrebbe o non funzionare (l'unico posto in cui ho lavorato ha permesso solo ad alcune VPN di uscire su eduroam, non tutte).

Windows 8 e iOS ricordano automaticamente il certificato TLS dell'istituto tramite impronta digitale.Le versioni precedenti di Windows non erano completamente insicure, ma richiedevano la configurazione _manual_ del nome host del certificato.Android 7+ richiede anche l'inserimento del nome host.
#4
+9
Philipp
2018-08-28 17:54:18 UTC
view on stackexchange narkive permalink

Quello a cui ti riferisci è chiamato captive portal.

Affinché tale portale venga visualizzato nel tuo browser web, devono accadere le seguenti cose:

  1. Il router WiFi attende finché il computer non effettua una richiesta non crittografata (http: //) a un sito Web pubblico.
  2. Intercetta tale richiesta
  3. Risponde impersonando il sito web che volevi raggiungere e inviandoti un reindirizzamento al portale

Questo è qualcosa che sembra estremamente dannoso per qualsiasi software di sicurezza sul tuo computer. Stai eseguendo una richiesta http non crittografata a un sito Web pubblico tramite una rete non attendibile e diventi vittima di un attacco man-in-the-middle. Sì, ne sei consapevole e lo stai facendo solo per poter vedere il captive portal. Ma i captive portal non sono standardizzati, quindi il tuo computer non può dire la differenza.

Se il reparto IT consentisse questo processo, ti consentirebbe anche di navigare in Internet con una connessione completamente insicura.

Ci sarebbero rischi per la sicurezza se il software consentisse esplicitamente che gli accessi a un particolare sito come (forse letteralmente) "www.example.com" venissero "dirottati" tramite captive portal?I captive portal non dovrebbero avere problemi a dirottare quel sito come qualsiasi altro, ma sarebbe improbabile che un captive portal mascherato da "www.example.com" sarebbe in grado di indurre chiunque a fare qualcosa che non vuole.
@supercat Dopo essere stato reindirizzato al captive portal, cosa succede?Sei ancora su una connessione non sicura fino a quando non torni esplicitamente alla modalità protetta, cosa che potresti dimenticarti di fare.
@supercat non c'è nulla che imponga che il captive portal sia in realtà un captive portal e non qualcosa che scaricherà un virus.Potrebbe sembrare una pagina in cui inserire una password o un nome utente, ma in realtà potrebbe non fare altro che consentirti di continuare la navigazione.Con un sito Web standardizzato che è anche peggio come ora, gli hacker possono semplicemente imitare quel sito Web su una rete che non ha portali captive e ogni utente ci cascherebbe e non avrebbe motivo di credere il contrario.I portali captive che hanno URL con nomi diversi a seconda della rete aiutano effettivamente la sicurezza.
@TheGreatDuck: Se un browser consente a una pagina visitata di eseguire codice di sua scelta con privilegi sufficienti per installare un virus, questo è un problema anche se tutto viene fatto tramite una VPN.Allo stesso modo, quasi tutti i siti Web basati su http indirizzabili pubblicamente visitati tramite una VPN potrebbero essere dirottati da chiunque in qualsiasi nodo tra l'host Web e il bridge VPN, indipendentemente da ciò che fa la VPN.Il caso d'uso particolare dell'utilizzo di un browser per accedere a www.example.com e qualsiasi cosa a cui reindirizza sembrerebbe che dovrebbe essere sicuro in assenza di falle di sicurezza all'interno del browser stesso.
Forse l'approccio giusto non sarebbe quello di scegliere un dominio, ma invece richiedere che un browser utilizzato per tali scopi venga eseguito all'interno di una particolare VM e istruire gli utenti che nulla che richieda sicurezza deve essere eseguito all'interno di quella VM, ma anche lì, scegliendo un dominioquale * si aspetta * di essere dirottato da un captive portal aiuterebbe a riconoscere la differenza tra il captive-portal dirottamento e altre forme.
#5
+3
Harper - Reinstate Monica
2018-08-29 02:54:16 UTC
view on stackexchange narkive permalink

In genere, questi hotspot Wi-Fi si autenticano tramite un indirizzo MAC . Vale a dire, dopo aver effettuato l'accesso tramite il loro captive portal, ricordano l'indirizzo MAC Wi-Fi del tuo sistema. Il traffico da quell'indirizzo MAC sarà consentito sul loro hotspot Wi-Fi per X minuti / ore, a seconda della loro politica.

Lo memorizzano anche abbastanza a lungo da poterti allontanare, tornare indietro, ottenere un nuovo Indirizzo IP ed essere riconosciuto solo sull'indirizzo MAC. Alcuni sono vasti. Una volta premuto "TOS Accept" sul Wi-Fi guest Target , il tuo indirizzo MAC viene memorizzato per anni e a livello nazionale per l'avvio.

Quindi, il la domanda è: come possiamo trovare una rete Wi-Fi con una macchina con quell'indirizzo MAC , sfogliare http://neverssl.com (o qualsiasi sito non HTTPS) , essere reindirizzati al captive portal, soddisfare i requisiti del captive portal e ottenere il nostro indirizzo MAC "ricordato" come una buona cosa.

Il mio pensiero è di utilizzare un altro dispositivo che consenta di modificare arbitrariamente il suo indirizzo MAC. Disattiva il Wi-Fi del laptop aziendale e imposta il suo indirizzo MAC sull'altro dispositivo. Usalo per esplorare gli schermi del captive portal. Disabilita il Wi-Fi e abilita il Wi-Fi del tuo laptop aziendale.

Un'altra alternativa sarebbe riavviare il tuo laptop da una pen drive, in un sistema operativo non bloccato, presumendo che la tua azienda sia d'accordo con quello .

#6
+2
A Khan
2018-08-31 10:13:08 UTC
view on stackexchange narkive permalink

Ok, quindi affrontiamo alcuni punti della tua domanda.

Le organizzazioni utilizzano spesso LDAP e altre metodologie per l'autenticazione senza password ed è ancora più sicuro.

Una VPN per infrastruttura consente solo un particolare intervallo di IP, che è consentito dalle impostazioni del firewall e da iptables per comunicare con la tua intranet / rete interna. Ora, si ottengono effettivamente le credenziali o si è autorizzati ad accedere a questa intranet solo utilizzando una particolare sottorete / intervallo IP spesso utilizzando solo la rete aziendale tramite l'infrastruttura VPN come Cisco SSL VPN o Sophos infrastruttura VPN.

Spero che questo chiarisca alcuni dubbi che avevi!

PS - L'utilizzo di una VPN sicura che utilizza il protocollo IPSec che è implementato in modo sicuro come quello di Cisco SSL VPN per le infrastrutture è molto più sicuro di quelle tradizionali e offre un profondo livello di sicurezza dal contesto di un attaccante esterno che virtualmente non può accedere alla rete senza avere accesso all'infrastruttura VPN.

#7
  0
zwol
2018-08-31 01:29:31 UTC
view on stackexchange narkive permalink

Non posso dire se gli amministratori di sistema della tua organizzazione lo faranno, ma potresti suggerirgli di fare un'eccezione specifica nella loro configurazione VPN per consentire connessioni dirette e non crittografate al sito web http: // neverssl .com /. L'intero scopo di questo sito è quello di essere dirottato da captive portal. Nessuno avrà mai bisogno di visitare tramite la VPN aziendale, perché è inutile tranne quando è necessario consentire a un captive portal di dirottare una connessione HTTP non crittografata e presentare la sua pagina di accesso, e non accetta alcuna informazione, quindi nessuno può esfiltrare i dati aziendali quel modo. Il rischio rimanente è che il captive portal stesso possa essere dannoso, e questo è un rischio reale, quindi potrebbero non farlo. Ma vale la pena provare.

Nel caso dell'OP, gli amministratori di sistema dell'organizzazione dovrebbero * anche * consentire connessioni dirette a siti Web arbitrari (in particolare, a qualsiasi sito Web che il captive portal desidera utilizzare per l'accesso).Questo è quello che non sono disposti a fare.
#8
  0
Mike Waters
2018-08-31 01:48:48 UTC
view on stackexchange narkive permalink

Perché nessuna password è più sicura di nome utente + password?

Lo è se utilizzi una chiave condivisa . Ecco come funziona, spiegato semplicemente.

Hai una chiave sicura sul tuo computer. Quello a cui stai tentando di accedere ha una chiave che lo corrisponde. Ciò consente un accesso senza password semplice, veloce e sicuro.

Questo collegamento riguarda principalmente l'accesso remoto a un server remoto tramite ssh, senza inserire nome utente e password. Lo faccio tutte le volte che ho bisogno di ssh nel mio server bare metal in affitto in un altro stato. Sicuramente, è possibile farlo nel tuo caso .



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...