È sicuro usare solo nome utente e password (e certificato del server) per l'autenticazione della connessione OpenVPN? Il nome utente o la password sono mai stati trasmessi in chiaro al server OpenVPN? Ho trovato un (tedesco) sito web che afferma così:
Testo originale:
Achtung: Dieser Schutz ist ohne Verschlüsselung sinnlos, da Username und Passwort unverschlüsselt übertragen werden! Es ist in jedem Fall zu empfehlen, die zusätzliche Authentifizierung nur in Verbindung mit der zertifikatbasierten Authentifizierung und Verschlüsselung zu nutzen
Traduzione in inglese:
Warning: This protection is meaningless without encryption because username and password are transmitted unencrypted! It is recommended in any case to use the additional authentication only in conjunction with the certificate-based authentication and encryption
Ho usato wireshark per dimostrare che questo è vero, ma non ho trovato il mio nome utente e la password in testo in chiaro in alcun pacchetto OpenVPN.
Sto usando il server OpenVPN versione 2.3 su un host di Ubuntu 14.04.