Fråga:
Hur är inget lösenord säkrare än användarnamn + lösenord?
luchonacho
2018-08-28 16:37:23 UTC
view on stackexchange narkive permalink

Kontext: Jag har en bärbar dator som levereras av min organisation. Jag försöker ansluta till eduroam, men jag kan inte göra det med min organisations bärbara dator. När jag använder en persondator ber jag mig om ett användarnamn och lösenord, precis som ett vanligt wifi-nätverk ber om lösenord.

Jag hittade texten nedan i den interna IT-policyn. Jag behöver hjälp med att förstå det. För mig är det helt kontraintuitivt :

Att använda hotell, kafé och offentliga WiFi-hotspots

Du kanske kan ansluta din bärbara dator för att använda WiFi på hotell, kaféer etc men detta beror på hur WiFi är inställt:

  • om det är "öppet" (det vill säga du behöver inget lösenord för att ansluta) så borde du vara OK
  • om den är inställd så att du behöver ett lösenord för att ansluta till WiFi (och detta lösenord ges till dig av anläggningen) bör du vara OK
  • om du dock enkelt kan ansluta till WiFi men du måste ange ett användarnamn och / eller lösenord i din webbläsarprogramvara kommer du inte att kunna komma åt tjänsten.

Säkerheten standarder som våra bärbara datorer är byggda på innebär att de inte kan ansluta direkt till en ”smutsig” eller osäker internetanslutning - allt går via den säkra VPN-anslutningen till vårt IT-nätverk. Så användaren kan inte komma till webbsidan där de behöver skriva in ett lösenord utan att först ansluta till VPN - och de kan inte ansluta till VPN utan att först komma till webbsidan.

Så i grund och botten kan jag använda mitt verks bärbara dator i ett kafé där nätverket delas av alla (som så mycket har skrivits mot, t.ex. här). Jag kan också använda den i ett nätverk med enbart lösenordsskydd, för vilket det till och med finns en WikiHow (!) Guide om hacking. Och ändå kan jag inte använda det i ett nätverk som kräver både användarnamn och lösenord, vilket säkert måste vara mycket svårare att hacka in.

Vad är denna känsla av säkerhet som ligger till grund för min organisation? Saknar jag något?

Jag tror att de kanske försöker varna dig för nätfiskeattacker.Vissa nätverk kräver att du anger ett användarnamn och lösenord på sin egen inloggningsskärm. Sådana saker kan senare användas för attacker av lösenordsanvändning och annan skadlig aktivitet.Jag tror inte att de pratar om något som WPA2 Enterprise Credentials som jag tror är helt bra att använda.
Följande svarar inte på din fråga, men kommer att lösa ditt problem: Du kan ansluta till eduroam med "username@example.com" med ditt vanliga användarnamn (utan "backslash" domänspecifikatorer, så inte "EXAMPLE \ username@example.com") och lösenord, levereras direkt som WiFi-användarnamn och lösenord.
”Nätverk delas av vem som helst” t.ex.internet.Internet är osäkert.Att ha någon som inte låter slumpmässiga främlingar inte använda internetanslutningen, handlar inte om din säkerhet, det handlar om deras.
De sa inte att det var eller inte var säkert, de sa bara att det inte skulle fungera ...
Jag skulle inte bli förvånad om den här typen av påminnelse handlade om nätfiske, i termens löstaste mening - fråga om ett användarnamn och lösenord även utan något sammanhang och du får ofta ett.
Nyckelord, "i din webbläsarprogramvara".
Jag är extremt förvirrad av den här frågan.Erbjuder din organisation eduroam i lokalerna?Om inte, vad får dig att tro att dina referenser gör att du kan ansluta till det?Eduroam är vanligtvis ett ömsesidigt avtal, det vill säga du erbjuder det till andra på din institution så att dina användare kommer att kunna använda det någon annanstans.Det betyder att det är enkelt att ställa in: du ser till att din enhet kan komma åt den på din institution, där du kan be din IT-avdelning om hjälp, och samma konfiguration kommer (eller åtminstone borde) fungera överallt.Om du inte har det lokalt är något trasigt.
@E.P.Jag arbetar deltid och deltidsstudier.Således har jag tillgång till mitt företags dator och även till mitt universitets internetuppgifter.Inget konstigt här.Jag vill bara använda mitt kontors bärbara dator när jag är på uni, för e-post och sånt.
Jag tycker att frågan är ganska vilseledande.Det är inte "inget lösenord" mot "användarnamn + lösenord", det är "captive portal" vs "open wifi"
@BgrWorker Det är inte vilseledande om du anser att jag inte visste begreppet captive portal.Om jag hade vetat det hade denna fråga inte funnits.
Titeln fick mig att tänka på Remote Desktop;inget lösenord = ingen anslutning.Lösenord kan gissas.AFAIK, utan lösenord alls kan du inte skapa en RD.
Du frågar "hur är lösenordet mindre säkert än inget lösenord?", Men du har gjort ett misstag när du tror att "inget lösenord" någonsin är ett alternativ.Även på öppna wifi-anslutningar lagrar din dator och använder ett längre och säkrare lösenord än vad som skulle vara möjligt för dig att komma ihåg dig själv i sin VPN-konfiguration.
@luchonacho det är fortfarande vilseledande, bara oavsiktligt.
Detta måste vara den värsta, mest vilseledande frågetiteln på hela stackexchange.IT-förklaringen är också tydlig och du bör nog försöka läsa den igen.
åtta svar:
gowenfawr
2018-08-28 16:58:44 UTC
view on stackexchange narkive permalink

De har konfigurerat de bärbara datorerna för att snurra upp en VPN-anslutning och bara prata med "hemmabasen" efter att de har gått i nätverket. Det betyder att om det finns en lokal "captive portal" som kräver att du anger autentiseringsuppgifter, kommer du inte att kunna använda den, för det skulle kräva att man undgår VPN.

(Det är en kyckling- och äggsak . Ingen VPN, ingen möjlighet att nå portalen - ingen portal, ingen möjlighet att snurra upp VPN!)

Det är säkrare eftersom de säkerställer att, oavsett vilken anslutning du har, någon nätverkstrafik du skickar går genom ditt företags nätverk, ditt företags kontroller och är inte föremål för avlyssning eller manipulation av någon annan part.

Det bryter tyvärr fallet med Wireless med en "captive portal", men möjliggör det fall skulle sänka deras säkerhet genom att låta din maskin prata med godtyckliga maskiner direkt snarare än via VPN.

"eduroam" -tjänsten som du nämner i kommentaren säger uttryckligen att de gör inte ha en intern portal, men använd WPA-Enterprise baserat på 802.1X:

Använder eduroam en webbportal för autentisering?

Nej. Webportal, Captive Portal eller Splash-Screen-baserade autentiseringsmekanismer är inte ett säkert sätt att acceptera eduroam-referenser .... eduroam kräver användning av 802.1X ...

802.1X är typ av autentisering du måste ange för att konfigurera din maskin för att ansluta till nätverket, så det här fallet är en som din IT-policy uttryckligen säger att de tillåter:

om den är inställd så att du behöver ett lösenord för att ansluta till WiFi (och det här lösenordet ges till dig av anläggningen), sedan ska du vara OK

Faktum är att eduroam verkar vara mycket väl anpassad till din IT policy - de misstro båda "den dåliga säkerheten" som fångas av portaler.

Baserat på redigeringen av den ursprungliga frågan:

Jag försöker ansluta till eduroam, men jag kan inte göra det med min organisations bärbara dator. När jag använder en persondator ber det mig om ett användarnamn och lösenord, precis som ett vanligt wifi-nätverk ber om lösenord.

Det tyder på att din organisations bärbara dator helt enkelt inte uppmanar dig för att ansluta till nya nätverk på samma sätt som din persondator är. Detta kan bero på olika operativsystem eller olika policyer som tillämpas på de två datorerna. Du kanske bara vill be din IT-grupp om hjälp med att konfigurera 802.1X för anslutning till eduroam-nätverket. genom att använda det nyckelordet blir det tydligt för dem att du försöker göra något de tillåter.

Tack !, men nätverket jag vill ansluta har inte så fångna portal, såvitt jag vet.Det är ett [eduroam] (https://www.eduroam.org/) nätverk.Det kräver ett användarnamn och lösenord ** redan innan ** jag ansluter.Min personliga dator ber mig bara om un / pw innan jag ansluter, som alla andra wifi som bara ber om lösenord.
@luchonacho Det täcks inte av texten du publicerade.Se "om du dock ** enkelt kan ansluta till WiFi men du måste ange ett användarnamn och / eller lösenord i din webbläsarprogramvara **, kommer du inte att kunna komma åt tjänsten."
@Qwertie korrekt.Uppdaterade svaret.Jag tyckte att sammanhang var obetydligt, men det kan vara viktigt!
Men policyn säger bara lösenord och inte användarnamn och lösenord.
@luchonacho användarnamn vs användarnamn + lösenord är inte viktigt.Vad de försöker säga är att nätverket måste ge dig obegränsad åtkomst så snart du kan ansluta till det.Eduroam-användarnamn + lösenord gör detta men många offentliga wifis försöker kapa dina http-förfrågningar för att visa dig en inloggningssida.Inte många wifi-nätverk frågar efter ett användarnamn och ett lösenord när de ansluter, vilket förmodligen varför de glömde att nämna det som en säker metod.
@gowenfawr, Om backend till 802.11x är RADIUS är det osannolikt att hans organisations VPN stöder det eller tillåter det.Det är ett applikationslagerprotokoll (TCP / UDP-port 1812).
@NathanGoings i 802.1x med RADIUS, talaren (klienten) talar till autentiseraren (AP) med hjälp av EAP, och autentiseraren pratar med autentiseringsservern med hjälp av RADIUS.Så klienten behöver aldrig tala RADIUS;EAP-paketen är en del av 802.11 WPA / WPA2-protokollet.Och som en del av 802.11-transportlagret är de pre-IP-nätverk och omfattas inte av VPN.
@gowenfawr, Du har rätt!Jag glömde helt bort den delen.
Eduroam är notoriskt komplicerat att installera (på klienten) på grund av hur olika leverantörer (= universitet) väljer att acceptera referenser.I teorin ska det vara standardiserat och trivialt att sätta upp;i praktiken måste vissa Eduroam-leverantörer tillhandahålla flersidiga PDF-handböcker till sina kunder för att vägleda dem genom installationsprocessen för varje operativsystem, och * fortfarande * användare blir förvirrade (även kraftanvändare).OP: s oförmåga att ansluta kanske inte har något att göra med företagets bärbara dator och mer med leverantörens implementering av den.
@KonradRudolph, ditt uttalande är helt fel.Eduroam är inte notoriskt komplicerat att installera, den enda delen som kan vara komplicerad är den ursprungliga 802.1X EAP-supplikantkonfigurationen för operativsystemet (vilket då gäller för alla 802.1X-anslutningar) men även det kan vara enkelt om organisationen använder enanständig inbyggd lösning.Även om det finns många olika leverantörer som en del av eduroam, ska din autentisering alltid vara säkert (dvs. TLS-tunnel) ansluten till din heminstitution så att processen inte ska ändras för en användare från en leverantör till en annan.
@YLearn Det ska inte förändras, rätt.Men det gör det faktiskt *.Jag har tidigare varit medlem i flera europeiska universitetsanslutna institut och jag kan intyga att processen för att inrätta Eduroam har skiljt sig mycket mellan dem.Dessutom är detta inte bara baserat på min personliga erfarenhet utan är ett extremt vanligt klagomål.
@KonradRudolph, om du pratar om olika institutioner som använder olika autentiseringsmetoder / autentiseringsuppgifter, då bestämmer varje institution den bästa metoden för * sina egna användare * som alltid har varit fallet (med eller utan eduroam).En enskild användares autentisering ändras dock inte när man besöker andra medlemsinstitutioner eftersom den återförs till deras heminstitution.En användare som flyttar från en institution till en annan är vanligtvis sömlös och så enkel som den blir.Återigen handlar ditt "klagomål" inte om eduroam, det handlar om 802.1X EAP-supplikantkonfiguration.
@YLearn Jag klagar inte, jag förklarar * varför OP har svårt trots att använda ett nätverk med en (något) standardiserad konfiguration.
@KonradRudolph, som inte är vettigt.De flesta företag använder 802.1X för åtminstone trådlöst om inte både trådlöst och trådbundet.802.1X-konfiguration skulle sannolikt redan vara en del av en sådan standardiserad konfiguration.
@YLearn Återigen är 802.1X-installationen inte frågan om Eduroam (åtminstone inte exklusivt).Eduroam-konfigurationen är förmodligen helt orelaterad till OP: s företags installation.Såvitt jag kan säga behövs faktiskt 802.1X inte ens nödvändigtvis för Eduroam (bara för att ansluta som gäst till ett * annat * värdinstitut).
@KonradRudolph, igen, du är inte meningsfull för mig.Det enda eduroam-konfigurationsproblemet för klientenheter är 802.1X EAP-supplikanten.Vad mer kan du hänvisa till eftersom det inte behövs någon annan klientkonfiguration.Men jag håller med om att detta nu är en "kaninspår" -diskussion som inte längre är till hjälp för OP: s fråga.
@gowenfawr hur stämmer ditt svar med detta uttalande från policyn ** "om det är inställt så att du behöver ett lösenord för att ansluta till WiFi (och detta lösenord ges till dig av anläggningen), igen, du ska vara OK"**?
@Rsf det uttalandet beskriver WPA / WPA2 integrerad autentisering.Det vanligaste fallet för det är endast lösenord, men det motsvarar funktionellt EAP-användarnamn + lösenord.Installationen kan skilja sig, men den fungerar fortfarande under WPAx-handskakningen och hindras inte av ett VPN-krav, till skillnad från den captive portal-metoden.Så kort sagt, när de säger "lösenord", betyder "WPA / WPA2-autentisering, vilket är * vanligtvis * lösenord, men kan vara * användarnamn + lösenord *" som OP upplever här.
Jag är en vanlig eduroam-användare och kan vittna om att det har varit ont att ställa in tidigare som @KonradRudolph säger.Det verkar dock ha blivit bättre de senaste åren.Även om svårigheten kanske inte beror på eduroam * i sig *, kommer slutanvändaren inte att bry sig om att det är deras institutions implementering som gör livet svårt, allt de ser är "eduroam" och en uppsättning instruktioner där fältnamnen aldrig riktigtverkar matcha exakt (och jag har sett ett krav att manuellt lägga till certifikat också)
eduroams komplexitet kommer delvis från att EAP har så många underprotokoll att välja mellan, dels från sysadminer som spelar Protocol Lego, dels från klientgränssnitt som försöker vara helt generiska och objektiva istället för att optimera för det mest populära fallet ... Om hemorganisationen erbjuderPEAP-MSCHAPv2 kan installationen vara 100% smärtfri (jag testar min på Windows, iPads, Androids.) Men om hemorganisationen _ vill ha smärta (t.ex. klientcertifikat) kommer det att finnas smärta.Slutligen, som YLearn noterade, beror det strikt på _home_ organisationen, aldrig på _visited_ org, så du behöver inte konfigurera om varje resa.
Captive portal ** är ** en man-i-mitten-attack på din nätverkstrafik.Det tjänar ett större syfte att ange ett lösenord eller klicka på "Jag accepterar villkoren" - men att skriva stackoverflow.com och få något annat utgör en fullfjädrad attack.Ditt försvar kan inte skilja "attack du vill" från "attack du inte vill", så båda är blockerade.
Connor J
2018-08-28 17:06:57 UTC
view on stackexchange narkive permalink

När du först ansluter till vissa webbplatser, kräver de att du ger dem en e-postadress eller någon annan datadel innan du kan använda deras tjänst. Denna sida kallas en intern portal.

Din företags bärbara dator är inställd så att när den upptäcker en internetanslutning ansluter den tillbaka till ditt företags VPN och sedan ansluts därifrån. I de flesta situationer (scenarier 1 och 2 i din fråga) kan du ansluta till wifi med ett lösenord, eller öppna wifi, tunnel till ditt företags VPN och sedan ansluta ut igen - allt görs med hjälp av wifi du ansluter till.

Men i situation 3 - kan du landa på en intern webbsida, vilket kräver att du först matar in en del data för att kunna ansluta. Din bärbara dator är dock utformad på ett sådant sätt att du måste ansluta till företagets VPN först. Vilket innebär att du inte kan ansluta till VPN eftersom du inte har angett några autentiseringsuppgifter på en intern portal och du kan inte ange autentiseringsuppgifterna eftersom du inte har anslutit till VPN ännu.

Förhoppningsvis svarar detta på din fråga lite bättre än min tidigare kommentar. Lämna en kommentar här så uppdaterar jag detta om du har fler frågor.

redigera: Bara för att lägga till anledningen till att ett företag kan ha den här typen av inställningar är att de kan se till att all trafik passerar deras VPN och låter dem genomdriva andra policyer, dvs. Acceptabel användning etc. Se @gowenfawr svar för mer info ovan eftersom han har förklarat det extremt bra.

Allen Howard
2018-08-28 23:15:36 UTC
view on stackexchange narkive permalink

Det finns redan bra svar på förståelsen för policyn, men jag ska prata kort om eduroams säkerhets- och anslutningsprofiler för att se till att alla baser täcks i termer av svaret. Jag har arbetat för två universitet som erbjuder eduroam och har spenderat mycket tid på att arbeta med det.

Eduroam är ett globalt nätverk av universitet och andra utbildningsinstitutioner som samarbetar för att ge medlemmar i en institution tillgång till nätverksresurser vid en annan partnerinstitution.

Autentisering till eduroam görs via 802.1x-protokollet (med MS-CHAP v2 vanligtvis fas 2-autentisering, åtminstone enligt min erfarenhet). Det är här AP / Controller använder RADIUS för att prata med RADIUS-servern på heminstitutionen. Förutsatt att allt är bra får klienten ansluta.

Kryptering av de trådlösa paketen från maskinen till AP görs med WPA2-kryptering (företag, därmed 802.1x-autentisering).

En av de största frågorna jag har sett med eduroam-anslutningsprofiler är när operativsystemet skickar inloggad användares autentiseringsuppgifter automatiskt (detta är standard i Windows 7 och nedan ... Jag tror att de har ändrat detta i Windows 8). Jag har också sett ett problem där Windows ibland försöker ansluta till maskinkontot, vilket vanligtvis inte är godkänt av universitetet (endast användarkonton är).

När du är ansluten till eduroam, kommer ditt företag att tunnelera ut data via sin VPN-leverantör. Beroende på hur institutionen där du försöker ansluta till har eduroam-nätverket inställt kan detta kanske inte fungera (det enda stället jag arbetade tillät bara vissa VPN-enheter medan de var på eduroam, inte alla).

Windows 8 och iOS kommer automatiskt ihåg institutionens TLS-certifikat med fingeravtryck.Äldre Windows-versioner var inte helt osäkra, men de krävde _manuell_ konfiguration av certifikatets värdnamn.Android 7+ kräver att värdnamnet också matas in.
Philipp
2018-08-28 17:54:18 UTC
view on stackexchange narkive permalink

Vad du hänvisar till kallas en fångportal.

För att en sådan portal ska kunna visas i din webbläsare måste följande saker hända:

  1. WiFi-routern väntar tills din dator gör en icke-krypterad (http: //) begäran till en offentlig webbplats.
  2. Den avlyssnar den begäran
  3. Det svarar genom att utge sig för den webbplats som du ville nå och skicka en omdirigering till portalen

Detta är något som ser extremt ont ut för alla säkerhetsprogram på din dator. Du gör en okrypterad http-begäran till en offentlig webbplats via ett opålitligt nätverk och blir offer för en man-i-mitten-attack. Ja, du är medveten om detta och du gör bara detta så att du kan se portfången. Men fångna portaler är inte standardiserade, så din dator kan inte se skillnaden.

Om IT-avdelningen skulle tillåta denna process, skulle de också låta dig surfa på internet över en helt osäker anslutning.

Skulle det finnas några säkerhetsrisker om programvaran uttryckligen tillät åtkomst till en viss webbplats som (kanske bokstavligen) "www.example.com" för att "kapas" via en intern portal?Fångsportaler borde inte ha några problem att kapa den webbplatsen som alla andra, men det skulle vara osannolikt att en fångportal som maskerade sig som 'www.example.com' skulle kunna lura någon att göra vad de inte vill.
@supercat Vad gör du när du har omdirigerats till portalen?Du är fortfarande på en osäker anslutning tills du uttryckligen byter tillbaka till ditt säkra läge, vilket du kanske glömmer att göra.
@supercat det finns inget som tvingar fram att captive portal faktiskt är en captive portal och inte något som kommer att ladda ner ett virus.Det kan se ut som en sida för att ange ett lösenord eller användarnamn, men det kanske inte gör något förutom att du kan fortsätta surfa.Med en standardiserad webbplats som är ännu värre eftersom hackare nu bara kan efterlikna den webbplatsen i ett nätverk som inte har fångna portaler och varje användare skulle falla för det och har ingen anledning att tro på något annat.Fångstportaler som har olika namngivna webbadresser beroende på vilket nätverk som verkligen hjälper till i säkerheten.
@TheGreatDuck: Om en webbläsare tillåter en besökt sida att köra valfri kod med tillräcklig behörighet att installera ett virus, är det ett problem även om allt görs via en VPN.På samma sätt kan nästan alla offentligt adresserbara http-baserade webbplatser som besöks via en VPN kapas av vem som helst i vilken nod som helst mellan webbhotellen och VPN-bron, oavsett vad VPN gör.Det specifika användningsfallet att använda en webbläsare för att komma åt www.example.com och vad som helst som omdirigerar till verkar som om det borde vara säkert i avsaknad av säkerhetsfel i webbläsaren.
Kanske skulle rätt tillvägagångssätt inte vara att välja en domän, utan istället kräva att en webbläsare som används för sådana ändamål körs inom en viss virtuell dator och instruera användare att inget som kräver säkerhet ska köras inom den virtuella datorn, men även där, välja en domänvilken man * förväntar sig * att kapas av en fångportal skulle hjälpa till att känna igen skillnaden mellan kapring i fångenskap och andra former.
Harper - Reinstate Monica
2018-08-29 02:54:16 UTC
view on stackexchange narkive permalink

Generellt verifieras dessa Wi-Fi-hotspots via en MAC-adress . Det vill säga, när du loggar in via deras fångna portal kommer de ihåg ditt systems Wi-Fi MAC-adress. Trafik från den MAC-adressen tillåts på deras Wi-Fi-hotspot i X minuter / timmar, beroende på deras policy.

De lagrar den också tillräckligt länge så att du kan gå bort, komma tillbaka, få en ny IP-adress och kännas igen enbart på MAC-adressen. Vissa är stora. När du väl har tryckt på "TOS Accept" på Target's gäst-Wi-Fi, kommer den ihåg din MAC-adress i år och rikstäckande att starta.

Så, frågan är: Hur vi kan komma på Wi-Fi med en maskin med den MAC-adressen , bläddra i http://neverssl.com (eller någon annan webbplats än HTTPS) , omdirigeras till captive-portalen, uppfylla captive portalens krav och få vår MAC-adress "ihågkommen" som en bra sak.

Min tanke är att använda en annan enhet som tillåter att ändra sin MAC-adress godtyckligt. Inaktivera din företags bärbara dator Wi-Fi och ställ in MAC-adressen på din andra enhet. Använd den för att gå igenom den fångna portalens skärmar. Inaktivera Wi-Fi och aktivera din företags bärbara Wi-Fi.

Ett annat alternativ skulle vara att starta om din bärbara dator från en tummenhet, till ett icke-låst OS, förutsatt att ditt företag är OK med det .

A Khan
2018-08-31 10:13:08 UTC
view on stackexchange narkive permalink

Okej, så låt oss ta upp några punkter i din fråga.

Organisationer använder ofta LDAP och andra metoder för autentisering utan lösenord och är ännu säkrare.

En infrastruktur VPN tillåter bara ett visst IP-intervall, vilket är tillåtet av brandväggsinställningar och iptables för att kommunicera med ditt intranät / interna nätverk. Nu får du faktiskt referenser eller får bara komma åt detta intranät med ett visst IP-undernät / -intervall ofta genom att bara använda företagets nätverk via infrastrukturen VPN som Cisco SSL VPN eller Sophos infrastruktur VPN.

Hoppas att detta rensar några tvivel du hade!

PS - Användning av säkert VPN som använder IPSec-protokoll som säkert implementeras som Cisco SSL VPN för infrastrukturer är mycket säkrare än traditionella och erbjuder ett djupt lager av säkerhet från en extern angripares bakgrund som praktiskt taget inte kan komma åt nätverket utan att ha tillgång till infrastruktur-VPN.

zwol
2018-08-31 01:29:31 UTC
view on stackexchange narkive permalink

Jag kan inte säga om din organisations sysadmins kommer att gå för det, men du kan föreslå för dem att de gör ett specifikt undantag i sin VPN-konfiguration för att tillåta direkta, okrypterade anslutningar till webbplatsen http: // neverssl .com /. Hela syftet med denna webbplats är att kapas av fångna portaler. Ingen kommer någonsin att behöva besöka via företagets VPN, för det är värdelöst förutom när du behöver tillåta en intern portal att kapa en okrypterad HTTP-anslutning och presentera sin inloggningssida, och den accepterar ingen information, så ingen kunde exfiltrera företagsdata på det sättet. Den återstående risken är att den inbyggda portalen i sig kan vara skadlig, och det är en verklig risk, så de kanske inte går för det. Men det är värt ett försök.

I OP: s fall skulle organisationens sysadmins * också * behöva tillåta direktanslutningar till godtyckliga webbplatser (specifikt till vilken webbplats som den fångna portalen vill använda för inloggning).Det är vad de inte är villiga att göra.
Mike Waters
2018-08-31 01:48:48 UTC
view on stackexchange narkive permalink

Hur är inget lösenord säkrare än användarnamn + lösenord?

Det är om du använder en delad nyckel . Så här fungerar det, förklaras enkelt.

Du har en säker nyckel på din dator. Den som du försöker logga in på har en nyckel som matchar den. Detta möjliggör en enkel, snabb och säker lösenordsfri inloggning.

Den här länken handlar mest om fjärranslutning till en fjärrserver via ssh, utan att ange ett användarnamn och lösenord. Jag gör det hela tiden när jag behöver ssh in på min hyrda bare-metal-server i ett annat tillstånd. Visst är det möjligt att göra det i ditt fall .



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...