In che modo nessuna password è più sicura di username e password?

79

Contesto: ho un computer portatile fornito dalla mia organizzazione. Sto cercando di connettermi a eduroam , ma non posso farlo usando il portatile della mia organizzazione. Quando uso un personal computer, mi chiede un nome utente e una password, proprio come una rete wifi standard richiede la password.

Ho trovato il testo sottostante nella politica IT interna. Ho bisogno di aiuto per capirlo. Per me è totalmente controintuitivo :

Using hotel, coffee shop and public WiFi hotspots

You may be able to connect your laptop to use the WiFi in hotels, coffee shops etc but this depends on how the WiFi is set up:

  • if it’s “open” (that is, you don’t need any password to connect) then you should be OK
  • if it’s set up so that you need a password to connect to the WiFi (and this password is given to you by the establishment) then again, you should be OK
  • if however you can readily connect to the WiFi but you need to enter a username and/or password in your web browser software, then you will not be able to access the service.

The security standards to which our laptops are built, means that they cannot connect directly to a “dirty” or insecure internet connection – everything goes via the secure VPN connection into our IT network. So the user can’t get to the web page where they’d need to type in a password, without first connecting to the VPN – and they can’t connect to the VPN without first getting to the web page.

Quindi, in pratica, posso utilizzare il laptop del mio lavoro in un coffee shop in cui la rete è condivisa da chiunque (per cui è stato scritto così tanto, ad esempio here ). Posso anche usarlo in una rete solo con password di sicurezza, per cui esiste anche un WikiCome (!) Guida sull'hacking. Eppure, non posso usarlo in una rete che richiede sia nome utente che password, che sicuramente devono essere molto più difficili da violare.

Che senso ha questa sicurezza alla base della mia organizzazione? Mi manca qualcosa?

    
posta luchonacho 28.08.2018 - 13:37
fonte

8 risposte

170

Hanno configurato i laptop per creare una connessione VPN e parlare solo con "home base" dopo essere entrati in rete. Ciò significa che se esiste un "captive portal" locale che richiede l'immissione di credenziali, non sarà possibile utilizzarlo, poiché ciò richiederebbe l'elusione della VPN.

(È una cosa di pollo e uovo. Nessuna VPN, nessuna possibilità di raggiungere il portale - nessun portale, nessuna possibilità di far girare la VPN!)

È più sicuro perché garantisce che, indipendentemente dalla connessione che hai, il traffico di rete che spedisci vada attraverso la rete della tua azienda, i controlli della tua azienda e non sia soggetto a intercettazioni o manipolazioni da parte di terzi.

Sfortunatamente rompe il caso di Wireless con un "captive portal", ma consentire che quel caso riduca la loro sicurezza consentendo alla tua macchina di parlare direttamente con macchine arbitrarie piuttosto che attraverso la VPN.

Il servizio "eduroam" che menzioni nel commento afferma esplicitamente che non hanno un captive portal , ma usa WPA-Enterprise basato su 802.1X:

Does eduroam use a web portal for authentication?

No. Web Portal, Captive Portal or Splash-Screen based authentication mechanisms are not a secure way of accepting eduroam credentials.... eduroam requires the use of 802.1X...

802.1X è il tipo di autenticazione che devi inserire per configurare il tuo computer per la connessione alla rete, quindi questo è il caso in cui il tuo criterio IT afferma esplicitamente che consentono:

if it’s set up so that you need a password to connect to the WiFi (and this password is given to you by the establishment) then again, you should be OK

In effetti, eduroam sembra essere molto in linea con la tua politica IT - entrambi diffidano della "cattiva sicurezza" imposta dai portali in cattività.

In base alla modifica della domanda originale:

I am trying to connect to eduroam, but I cannot do it using my organisation's laptop. When I use a personal computer, it asks me for a username and password, just as a standard wifi network asks for password.

Questo mi suggerisce che il laptop della tua organizzazione non ti sta semplicemente chiedendo di connetterti alle nuove reti nello stesso modo in cui è il tuo personal computer. Ciò potrebbe essere dovuto a diversi sistemi operativi o politiche differenti applicate ai due computer. Potresti semplicemente chiedere al tuo gruppo IT di aiutarti a configurare 802.1X per la connessione alla rete eduroam; usando quella parola chiave renderà chiaro a tutti che stai cercando di fare qualcosa che loro permettono.

    
risposta data 28.08.2018 - 13:58
fonte
15

Quando ti connetti per la prima volta ad alcuni siti web, ti richiedono di fornire loro un indirizzo email o qualche altro dato prima di poter utilizzare il loro servizio, questa pagina viene definita come un captive portal.

Il computer portatile dell'azienda è configurato in modo tale che quando rileva una connessione Internet, si ricolleghi alla VPN aziendale e quindi si riconnetti da lì. Nella maggior parte delle situazioni, (scenari 1 e 2 nella tua domanda) puoi connetterti al wifi con una password, o aprire il wifi, tunnelare nella tua VPN aziendale, e poi riconnetterti - tutto ciò è fatto usando il servizio del wifi ti stai collegando.

Tuttavia, nella situazione 3, è possibile atterrare su una pagina web del captive portal, che richiede di inserire prima alcuni dati per connettersi. Tuttavia, il tuo laptop è progettato in modo tale che devi prima connetterti alla VPN aziendale. Ciò significa che non puoi collegarti alla VPN perché non hai inserito alcuna credenziale su un captive portal e non puoi inserire le credenziali perché non sei ancora connesso alla VPN.

Speriamo che questo risponda alla tua domanda un po 'meglio del mio precedente commento. Lascia un commento qui e aggiornerò questo se hai ulteriori domande.

modifica: solo per aggiungere il motivo per cui un'azienda potrebbe avere questo tipo di configurazione è perché possono garantire che tutto il traffico passa attraverso la loro VPN e consente loro di imporre altre politiche, ad es. Uso accettabile, ecc. Si prega di consultare la risposta @gowenfawr per maggiori informazioni sopra come ha spiegato molto bene.

    
risposta data 28.08.2018 - 14:06
fonte
12

Ci sono già buone risposte sulla comprensione della politica, ma parlerò brevemente della sicurezza di eduroam e dei profili di connessione per assicurarmi che tutte le basi siano trattate in termini di risposta. Ho lavorato per due università che offrono eduroam e ho trascorso molto tempo a lavorare con esso.

Eduroam è una rete globale di università e altre istituzioni educative che si confrontano per consentire ai membri di un'istituzione di accedere alle risorse di rete presso un'altra istituzione partner.

L'autenticazione a eduroam avviene tramite il protocollo 802.1x (con MS-CHAP v2 di solito l'autenticazione di fase 2, almeno nella mia esperienza). È qui che l'AP / Controller utilizza RADIUS per comunicare con il server RADIUS presso l'istituto di provenienza. Supponendo che tutto sia buono, il client è autorizzato a connettersi.

La crittografia dei pacchetti wireless dalla macchina all'AP viene eseguita con la crittografia WPA2 (enterprise, da cui l'autenticazione 802.1x).

Uno dei maggiori problemi che ho riscontrato con i profili di connessione eduroam è quando il sistema operativo invia automaticamente le credenziali dell'utente connesso (questo è predefinito in Windows 7 e in basso ... Penso che abbiano cambiato questo in Windows 8). Ho anche visto un problema in cui Windows a volte tenta di connettersi con l'account della macchina, che di solito non è autorizzato dall'università (sono solo gli account utente).

Una volta connesso a eduroam, la tua azienda eseguirà il tunneling dei dati attraverso il loro provider VPN. A seconda di come l'istituto in cui stai cercando di connettersi ha impostato la rete eduroam, questo può o meno funzionare (l'unico posto in cui ho lavorato ha permesso solo alcune VPN in uscita su eduroam, non tutte).

    
risposta data 28.08.2018 - 20:15
fonte
9

Ciò a cui ti riferisci è chiamato captive portal .

Affinché un portale di questo tipo venga visualizzato nel browser Web, è necessario che si verifichino le seguenti condizioni:

  1. Il router WiFi attende che il tuo computer effettui una richiesta non crittografata (http: //) a un sito web pubblico.
  2. Intercetta quella richiesta
  3. Risponde impersonando il sito web che desideri raggiungere e inviandoti un reindirizzamento al portale

Questo è qualcosa che sembra estremamente malvagio per qualsiasi software di sicurezza sul tuo computer. Stai facendo una richiesta http non crittografata a un sito web pubblico tramite una rete non affidabile e diventi vittima di un attacco man-in-the-middle. Sì, ne sei consapevole e lo stai facendo solo per vedere il captive portal. Ma i portali in cattività non sono standardizzati, quindi il tuo computer non può dire la differenza.

Se il reparto IT consentirebbe questo processo, ti consentirebbe anche di navigare in Internet su una connessione completamente insicura.

    
risposta data 28.08.2018 - 14:54
fonte
3

Generalmente, questi hotspot Wi-Fi si autenticano tramite un indirizzo MAC . Vale a dire, dopo aver effettuato l'accesso tramite il loro captive portal, ricordano l'indirizzo MAC Wi-Fi del sistema. Il traffico proveniente da tale indirizzo MAC sarà consentito sul proprio hotspot Wi-Fi per X minuti / ore, a seconda della loro politica.

Lo memorizzano anche abbastanza a lungo da poter andare via, tornare indietro, ottenere un nuovo indirizzo IP e essere riconosciuti solo sull'indirizzo MAC. Alcuni sono vasti. Dopo aver premuto "TOS Accept" su Target guest Wi-Fi, ricorda il tuo indirizzo MAC per anni e nazionale per l'avvio.

Quindi, la domanda è: come possiamo arrivare su Wi-Fi con una macchina con quell'indirizzo MAC , sfogliare link (o qualsiasi sito non HTTPS), essere reindirizzato al captive portal, soddisfare i requisiti del captive portal e ottenere il nostro indirizzo MAC "ricordato" come una buona cosa.

Il mio pensiero è quello di utilizzare un altro dispositivo che ti permetta di modificare arbitrariamente il suo indirizzo MAC. Disattiva il Wi-Fi del tuo laptop aziendale e imposta il suo indirizzo MAC sull'altro dispositivo. Usalo per camminare attraverso gli schermi del captive portal. Disattiva il Wi-Fi e abilita il Wi-Fi del laptop aziendale.

Un'altra alternativa sarebbe quella di riavviare il laptop da una pen drive, in un sistema operativo non bloccato, presumendo che la tua azienda sia d'accordo.

    
risposta data 28.08.2018 - 23:54
fonte
2

Ok, quindi parliamo di alcuni punti della tua domanda.

Le organizzazioni spesso utilizzano LDAP e altre metodologie per l'autenticazione senza password e sono ancora più sicure.

Una VPN di infrastruttura consente solo un determinato intervallo IP, che è consentito dalle impostazioni del firewall e da iptables per comunicare alla rete intranet / interna. Ora, si ottengono effettivamente le credenziali o è consentito accedere a questa intranet solo tramite una particolare sottorete IP / intervallo utilizzando la rete della società solo tramite l'infrastruttura VPN come Cisco SSL VPN o Sophos Infrastructure VPN.

Spero che questo chiarisca alcuni dubbi che hai avuto!

P.S. - L'utilizzo di VPN sicura che utilizza il protocollo IPSec che è implementato in sicurezza come quello di Cisco SSL VPN per le infrastrutture è molto più sicuro di quelli tradizionali e offre un profondo livello di sicurezza dal contesto di un utente malintenzionato esterno che praticamente non può accedere alla rete senza avere accesso all'infrastruttura VPN.

    
risposta data 31.08.2018 - 07:13
fonte
0

Non posso dire se gli amministratori di sistema della tua organizzazione lo faranno, ma potresti suggerire loro di fare un'eccezione specifica nella loro configurazione VPN per consentire connessioni dirette, non crittografate al sito web link . L'intero scopo di questo sito deve essere dirottato da portali in cattività. Nessuno potrà mai visitare la VPN aziendale, perché è inutile, tranne quando è necessario consentire a un portale captive di intercettare una connessione HTTP non crittografata e presentare la sua pagina di accesso, e non accetta alcuna informazione, quindi nessuno potrebbe esfiltrare i dati aziendali quel modo. Il rischio rimanente è che il captive portal potrebbe essere malevolo, e questo è un rischio reale, quindi potrebbero non farlo. Ma vale la pena provare.

    
risposta data 30.08.2018 - 22:29
fonte
0

How is no password more secure than username+password?

È se si utilizza una chiave condivisa . Ecco come funziona, spiegato semplicemente.

Hai una chiave sicura sul tuo computer. Quello a cui stai tentando di accedere ha una chiave che lo abbina. Ciò consente un accesso senza password semplice, veloce e sicuro.

Questo collegamento riguarda principalmente l'accesso remoto a un server remoto tramite ssh, senza immettere nome utente e password. Lo faccio sempre quando ho bisogno di ssh nel mio server bare metal in un altro stato. Sicuramente, è possibile farlo nel tuo caso .

    
risposta data 30.08.2018 - 22:48
fonte

Leggi altre domande sui tag