没有密码比用户名+密码更安全吗?

信息安全 网络 无线上网 强制门户
2021-08-08 05:53:49

背景:我有一台由我的组织提供的笔记本电脑。我正在尝试连接到eduroam,但我无法使用我所在组织的笔记本电脑进行连接。当我使用个人电脑时,它会要求我输入用户名和密码,就像标准 wifi 网络要求输入密码一样。

我在内部 IT 政策中找到了以下文本。我需要帮助理解它。对我来说,这完全违反直觉

使用酒店、咖啡店和公共 WiFi 热点

您可以连接笔记本电脑以在酒店、咖啡店等场所使用 WiFi,但这取决于 WiFi 的设置方式:

  • 如果它是“开放的”(也就是说,你不需要任何密码来连接)那么你应该没问题
  • 如果设置为您需要密码才能连接到 WiFi(并且该密码由机构提供给您),那么您应该没问题
  • 但是,如果您可以轻松连接到 WiFi,但您需要在 Web 浏览器软件中输入用户名和/或密码,那么您将无法访问该服务。

我们的笔记本电脑所遵循的安全标准意味着它们不能直接连接到“脏”或不安全的互联网连接——一切都通过安全的 VPN 连接进入我们的 IT 网络。因此,用户在没有先连接到 VPN 的情况下无法访问需要输入密码的网页,并且如果没有先访问网页,他们也无法连接到 VPN。

所以基本上,我可以在咖啡店使用我工作的笔记本电脑,那里的网络由任何人共享(为此已经写了很多,例如在这里)。我也可以在仅具有密码安全性的网络中使用它,甚至还有关于黑客攻击的WikiHow (!) 指南。然而,我不能在需要用户名和密码的网络中使用它,这肯定更难入侵。

构成我组织基础的安全感是什么?我错过了什么吗?

4个回答

他们已将笔记本电脑配置为启动 VPN 连接,并且仅在进入网络后才与“基地”通话。这意味着如果有一个本地“强制门户”需要您输入凭据,您将无法使用它,因为这需要规避 VPN。

(这是先有鸡还是先有蛋的事情。没有 VPN,无法访问门户 - 没有门户,无法启动 VPN!)

它更安全,因为他们确保无论您拥有何种连接,您发送的任何网络流量都通过您公司的网络,您公司的控制,并且不会受到任何其他方的拦截或操纵。

不幸的是,它通过“强制门户”打破了无线的案例,但允许您的机器直接与任意机器对话而不是通过 VPN 会降低其安全性。

您在评论中提到的“eduroam”服务明确指出他们没有强制门户,但使用基于 802.1X 的 WPA-Enterprise:

eduroam 是否使用门户网站进行身份验证?

不可以。基于 Web 门户、强制门户或 Splash-Screen 的身份验证机制不是接受 eduroam 凭据的安全方式...... eduroam 需要使用 802.1X......

802.1X 是您需要输入的一种身份验证,以配置您的计算机以连接到网络,因此这种情况是您的 IT 策略明确规定它们允许的一种情况:

如果设置为您需要密码才能连接到 WiFi(并且该密码由机构提供给您),那么您应该没问题

事实上,eduroam 似乎与您的 IT 策略非常一致——他们都不信任强制门户强加的“糟糕的安全性”。

基于对原始问题的编辑:

我正在尝试连接到 eduroam,但我无法使用我所在组织的笔记本电脑进行连接。当我使用个人电脑时,它会要求我输入用户名和密码,就像标准 wifi 网络要求输入密码一样。

这向我表明,您组织的笔记本电脑根本不会像您的个人计算机那样提示您连接到新网络。这可能是因为两台计算机应用了不同的操作系统或不同的策略。您可能只是想请求您的 IT 团队帮助配置 802.1X 以连接到 eduroam 网络;使用该关键字会让他们清楚地知道您正在尝试做他们允许的事情。

当您第一次连接到某些网站时,他们要求您在使用他们的服务之前给他们一个电子邮件地址或其他一些数据,这个页面被称为强制门户。

您的公司笔记本电脑已设置好,当它检测到 Internet 连接时,它会连接回您的公司 VPN,然后从那里连接回来。在大多数情况下,(您的问题中的场景 1 和 2)您可以使用密码连接到 wifi,或者打开 wifi,隧道进入您的公司 VPN,然后再连接回来 - 所有这些都是使用 wifi 的服务完成的你正在连接到。

但是,在情况 3 中 - 您可能会登陆一个强制门户网页,这需要您先输入一些数据才能连接。但是,您的笔记本电脑的设计方式是您必须先连接到公司 VPN。这意味着您无法连接到 VPN,因为您尚未在强制门户上输入任何凭据,并且您无法输入凭据,因为您尚未连接到 VPN。

希望这比我之前的评论能更好地回答您的问题。在这里发表评论,如果您有其他问题,我会更新。

编辑:只是添加公司可能进行这种设置的原因是因为他们可以确保所有流量都通过他们的 VPN,并允许他们执行其他策略,即。可接受的用途等。请参阅@gowenfawr 答案以获取上面的更多信息,因为他已经解释得非常好。

关于对策略的理解已经有了很好的答案,但我将简要谈谈 eduroam 安全性和连接配置文件,以确保答案涵盖所有基础。我曾在两所提供 eduroam 的大学工作,并花了很多时间与它合作。

Eduroam 是一个由大学和其他教育机构组成的全球网络,它们相互对等,允许一个机构的成员访问另一个合作机构的网络资源。

对 eduroam 的身份验证是通过 802.1x 协议完成的(使用 MS-CHAP v2 通常是第 2 阶段身份验证,至少根据我的经验)。这是 AP/控制器使用 RADIUS 与所在机构的 RADIUS 服务器通信的地方。假设一切正常,则允许客户端连接。

从机器到 AP 的无线数据包加密是通过 WPA2(企业级,因此是 802.1x 身份验证)加密完成的。

我在 eduroam 连接配置文件中看到的最大问题之一是操作系统自动提交登录用户的凭据(这是 Windows 7 及更低版本中的默认设置……我认为他们在 Windows 8 中更改了这一点)。我还看到一个问题,Windows 有时会尝试连接机器帐户,这通常不是由大学授权的(只有用户帐户是)。

连接到 eduroam 后,您的公司将通过其 VPN 提供商将数据传输出去。根据您尝试连接的机构如何设置 eduroam 网络,这可能会或可能不会起作用(我工作的一个地方只允许在 eduroam 上使用一些 VPN,而不是全部)。

您所指的是所谓的强制门户

为了让这样的门户网站显示在您的网络浏览器中,需要进行以下操作:

  1. WiFi 路由器会一直等待,直到您的计算机向公共网站发出非加密 (http://) 请求。
  2. 它拦截该请求
  3. 它通过模拟您想要访问的网站来响应并向您发送重定向到门户网站

这对于您计算机上的任何安全软件来说都是极其邪恶的。您正在通过不受信任的网络向公共网站发出未加密的 http 请求,并成为中间人攻击的受害者。是的,你知道这一点,你这样做只是为了让你可以看到强制门户。但是强制门户没有标准化,因此您的计算机无法区分。

如果 IT 部门允许此过程,他们还将允许您通过完全不安全的连接浏览 Internet。

其它你可能感兴趣的问题
上一篇如何创建一个密码,上面写着“SALT ME!” 什么时候散列? 下一篇更正拼写错误的用户名会带来安全风险吗?