C'è una rete wireless a cui talvolta devo collegarmi che utilizza WPA2 con EAP-TTLS e PAP come protocollo "interno".
Mi è stato inviato un file di certificato (presumibilmente perché TTLS funzionasse) e ho fornito un'identità utente e una password iniziale (che mi è stato consigliato e che ho fatto - cambiano attraverso un'interfaccia web).
Ora, è corretto che la configurazione di cui sopra implica che la mia identità e la mia password (quella che ho scelto attraverso l'interfaccia web) saranno disponibili per il server di autenticazione (non crittografato / hash)?
Sfondo: la combinazione di ID utente e password non solo viene utilizzata per accedere a quella rete ma anche per autentificarmi in alcuni siti Web, sui quali posso eseguire operazioni che potrebbero comportare conseguenze legali per me. Si noti che i siti Web e la rete sono forniti dalla stessa istituzione e non posso modificare le password (o identità) per nessuno di quelli separatamente. Quindi sono preoccupato che un attore malintenzionato con accesso al server di autenticazione di quella rete possa (ab) usare la mia identità e password.