OpenVPN username e password solo per autenticazione - non sicuri?

2

È sicuro usare solo nome utente e password (e certificato del server) per l'autenticazione della connessione OpenVPN? Il nome utente o la password sono mai stati trasmessi in chiaro al server OpenVPN? Ho trovato un (tedesco) sito web che afferma così:

Testo originale:

Achtung: Dieser Schutz ist ohne Verschlüsselung sinnlos, da Username und Passwort unverschlüsselt übertragen werden! Es ist in jedem Fall zu empfehlen, die zusätzliche Authentifizierung nur in Verbindung mit der zertifikatbasierten Authentifizierung und Verschlüsselung zu nutzen

Traduzione in inglese:

Warning: This protection is meaningless without encryption because username and password are transmitted unencrypted! It is recommended in any case to use the additional authentication only in conjunction with the certificate-based authentication and encryption

Ho usato wireshark per dimostrare che questo è vero, ma non ho trovato il mio nome utente e la password in testo in chiaro in alcun pacchetto OpenVPN.

Sto usando il server OpenVPN versione 2.3 su un host di Ubuntu 14.04.

    
posta arminb 20.08.2015 - 15:24
fonte

1 risposta

3

Il nome utente e la password sono crittografati; questo è confermato nella documentazione OpenVPN :

OpenVPN 2.0 and later include a feature that allows the OpenVPN server to securely obtain a username and password from a connecting client, and to use that information as a basis for authenticating the client.

    
risposta data 20.08.2015 - 17:05
fonte

Leggi altre domande sui tag