L'autenticazione TLS crittografa nome utente e password?

6

Mi collego al mio provider VPN usando openVPN. Il server utilizza una combinazione di nome utente / password e autenticazione TLS.

Se sono collegato a una rete Wi-Fi pubblica e alla mia VPN, il mio nome utente è crittografato?

In altre parole, il mio nome utente potrebbe essere annusato?

    
posta slick1537 03.04.2016 - 15:17
fonte

2 risposte

5

Se leggo correttamente la tua domanda, ti connetti alla tua VPN utilizzando una combinazione di autenticazione client TLS e combinazione nome utente / password.

In questo caso un MitM attacker può leggere l'intero contenuto del certificato client ( link al messaggio pertinente nel protocollo handshake ), che potrebbe includere il tuo nome utente. L'autore dell'attacco non può leggere la combinazione nome utente / password perché vengono inviati dopo che l'handshake TLS è stato completato e quindi crittografato.

La mitigazione è semplice a livello di protocollo: non creare una connessione autenticata da entrambi i server, ma autenticata unilateralmente e quindi consentire al server di avviare una rinegoziazione con l'autenticazione del client. Questo è diverso, perché la connessione verrà crittografata utilizzando la suite di crittografia dalla prima connessione e quindi un utente malintenzionato non può intercettare il certificato del client.

Se questa mitigazione non è possibile per qualsiasi motivo, puoi provare a rendere i due nomi utente unici e distinti. Ad esempio, è possibile assegnare all'utente un nome comune completamente casuale nel certificato, che viene controllato nell'elenco di controllo del database / accesso interno per a) essere consentito l'accesso eb) corrisponde alla password leggibile / scelta dall'utente. In questo modo un utente malintenzionato non può apprendere il nome utente necessario per la coppia nome utente / password. Per quanto posso dire, una tale configurazione è possibile con OpenVPN.

    
risposta data 03.04.2016 - 15:37
fonte
1

Spero di aver letto correttamente la tua domanda, ma se ti stai connettendo tramite una VPN nel momento in cui viene creato il tunnel, tutti i dati tra il tunnel VPN point-to-point verrebbero crittografati. Questo include i pacchetti che viaggiano dal tuo dispositivo tramite Wi-Fi.

Sarei disposto a scommettere che se richiede un nome utente / una password per creare il tunnel VPN, viene sicuramente passato crittografato prima della creazione del tunnel, probabilmente con https, che utilizza TLS / SSL.

Un utente malintenzionato dovrebbe avere le chiavi per decrittografare i dati, in quanto un normale sniffer che cerca di visualizzare il tuo traffico vedrebbe solo ciò che sembra loro incomprensibile.

A meno che l'aggressore non sia stato in grado di trovare un exploit o di ottenere le chiavi, tutte le informazioni trasmesse, compresi il nome utente e la password, sarebbero state effettivamente crittografate.

    
risposta data 03.04.2016 - 21:20
fonte

Leggi altre domande sui tag