web-dev-qa-db-fra.com

Comment aucun mot de passe n'est-il plus sûr que le nom d'utilisateur + mot de passe?

Contexte: J'ai un ordinateur portable fourni par mon organisation. J'essaie de me connecter à eduroam , mais je ne peux pas le faire en utilisant l'ordinateur portable de mon organisation. Lorsque j'utilise un ordinateur personnel, il me demande un nom d'utilisateur et un mot de passe, tout comme un réseau wifi standard demande un mot de passe.

J'ai trouvé le texte ci-dessous dans la politique informatique interne. J'ai besoin d'aide pour le comprendre. Pour moi, c'est totalement contre-intuitif :

Utilisation de l'hôtel, du café et des hotspots WiFi publics

Vous pourrez peut-être connecter votre ordinateur portable pour utiliser le WiFi dans les hôtels, les cafés, etc., mais cela dépend de la configuration du WiFi:

  • s'il est "ouvert" (c'est-à-dire que vous n'avez pas besoin de mot de passe pour vous connecter), alors vous devriez être OK
  • s'il est configuré de manière à ce que vous ayez besoin d'un mot de passe pour vous connecter au WiFi (et ce mot de passe vous est donné par l'établissement), vous devriez être OK
  • si toutefois vous pouvez facilement vous connecter au WiFi mais que vous devez entrer un nom d'utilisateur et/ou un mot de passe dans votre logiciel de navigation Web, vous ne pourrez pas accéder au service.

Les normes de sécurité sur lesquelles nos ordinateurs portables sont construits, signifient qu'ils ne peuvent pas se connecter directement à une connexion Internet "sale" ou non sécurisée - tout se passe via la connexion VPN sécurisée dans notre réseau informatique. Ainsi, l'utilisateur ne peut pas accéder à la page Web où il doit saisir un mot de passe, sans d'abord se connecter au VPN - et il ne peut pas se connecter au VPN sans d'abord accéder à la page Web.

Donc, fondamentalement, je peux utiliser l'ordinateur portable de mon travail dans un café où le réseau est partagé par n'importe qui (pour lequel tant de choses ont été écrites, par exemple ici ). Je peux également l'utiliser dans un réseau avec sécurité par mot de passe uniquement, pour lequel il existe même un guide WikiHow (!) Sur le piratage. Et pourtant, je ne peux pas l'utiliser dans un réseau qui nécessite à la fois un nom d'utilisateur et un mot de passe, ce qui doit sûrement être beaucoup plus difficile à pirater.

Quel est ce sentiment de sécurité qui sous-tend mon organisation? Suis-je en train de manquer quelque chose?

78
luchonacho

Ils ont configuré les ordinateurs portables pour faire tourner une connexion VPN et ne parlent à la "base d'origine" qu'après leur connexion au réseau. Cela signifie que s'il existe un "portail captif" local qui vous oblige à entrer des informations d'identification, vous ne pourrez pas l'utiliser, car cela nécessiterait d'échapper au VPN.

(C'est un truc de poulet et d'oeufs. Pas de VPN, pas de possibilité d'accéder au portail - pas de portail, pas de possibilité de faire tourner le VPN!)

Il est plus sûr, car ils garantissent que, quelle que soit la connexion que vous avez, tout le trafic réseau que vous envoyez passe par le réseau de votre entreprise, les contrôles de votre entreprise, et ne soit pas intercepté ou manipulé par une autre partie.

Cela casse malheureusement le cas de Wireless avec un "portail captif", mais en permettant ce cas, cela diminuerait leur sécurité en permettant à votre machine de parler à des machines arbitraires directement plutôt que via le VPN.


Le service "eduroam" que vous mentionnez dans le commentaire indique explicitement qu'ils n'ont pas de portail captif , mais utilisez WPA-Enterprise basé sur 802.1X:

eduroam utilise-t-il un portail Web pour l'authentification?

Non. Les mécanismes d'authentification basés sur Web Portal, Captive Portal ou Splash-Screen ne sont pas un moyen sûr d'accepter les informations d'identification eduroam .... eduroam nécessite l'utilisation de 802.1X ...

Le 802.1X est le type d'authentification que vous devez entrer pour configurer votre machine pour qu'elle se connecte au réseau, donc ce cas en est un que votre politique informatique indique explicitement qu'ils autorisent:

s'il est configuré de manière à ce que vous ayez besoin d'un mot de passe pour vous connecter au WiFi (et ce mot de passe vous est donné par l'établissement), vous devriez être OK

En fait, eduroam semble être très bien aligné avec votre politique informatique - ils se méfient tous les deux de la "mauvaise sécurité" imposée par les portails captifs.


Sur la base de la modification de la question d'origine:

J'essaie de me connecter à eduroam, mais je ne peux pas le faire en utilisant l'ordinateur portable de mon organisation. Lorsque j'utilise un ordinateur personnel, il me demande un nom d'utilisateur et un mot de passe, tout comme un réseau wifi standard demande un mot de passe.

Cela me donne à penser que l'ordinateur portable de votre organisation ne vous invite tout simplement pas à vous connecter à de nouveaux réseaux de la même manière que votre ordinateur personnel. Cela peut être dû à des systèmes d'exploitation différents ou à des politiques différentes appliquées aux deux ordinateurs. Vous pouvez simplement demander à votre groupe informatique de vous aider à configurer 802.1X pour la connexion au réseau eduroam; l'utilisation de ce mot-clé leur indiquera clairement que vous essayez de faire quelque chose qu'ils autorisent.

168
gowenfawr

Lorsque vous vous connectez pour la première fois à certains sites Web, ils exigent que vous leur donniez une adresse e-mail ou toute autre donnée avant de pouvoir utiliser leur service, cette page est appelée portail captif.

L'ordinateur portable de votre entreprise est configuré de sorte que lorsqu'il détecte une connexion Internet, il se reconnecte à votre VPN d'entreprise, puis se reconnecte à partir de là. Dans la plupart des situations, (scénarios 1 et 2 dans votre question), vous pouvez vous connecter au wifi avec un mot de passe, ou ouvrir le wifi, tunneler dans votre VPN d'entreprise, puis vous reconnecter - tout cela se fait en utilisant le service du wifi vous vous connectez.

Cependant, dans la situation 3 - vous pouvez atterrir sur une page Web de portail captif, ce qui nécessite que vous saisissiez d'abord certaines données afin de vous connecter. Cependant, votre ordinateur portable est conçu de telle manière que vous devez d'abord vous connecter au VPN d'entreprise. Ce qui signifie que vous ne pouvez pas vous connecter au VPN parce que vous n'avez entré aucune information d'identification sur un portail captif, et vous ne pouvez pas entrer les informations d'identification parce que vous ne vous êtes pas encore connecté au VPN.

J'espère que cela répond un peu mieux à votre question que mon commentaire précédent. Laissez un commentaire ici et je le mettrai à jour si vous avez d'autres questions.

modifier: Juste pour ajouter la raison pour laquelle une entreprise peut avoir ce type de configuration, c'est parce qu'elle peut s'assurer que tout le trafic passe par son VPN et lui permet d'appliquer d'autres politiques, par exemple. Utilisation acceptable, etc. Veuillez consulter la réponse @gowenfawr pour plus d'informations ci-dessus car il l'a très bien expliqué.

15
Connor J

Il existe déjà de bonnes réponses quant à la compréhension de la politique, mais je vais parler brièvement des profils de sécurité et de connexion eduroam pour m'assurer que toutes les bases sont couvertes en termes de réponse. J'ai travaillé pour deux universités qui proposent eduroam et y ai passé beaucoup de temps.

Eduroam est un réseau mondial d'universités et d'autres établissements d'enseignement qui se regroupent pour permettre aux membres d'un établissement d'accéder aux ressources du réseau d'un autre établissement partenaire.

L'authentification sur eduroam se fait via le protocole 802.1x (avec MS-CHAP v2 généralement l'authentification de phase 2, du moins d'après mon expérience). C'est là que l'AP/Controller utilise RADIUS pour parler au serveur RADIUS de l'institution d'origine. En supposant que tout va bien, le client est autorisé à se connecter).

Le cryptage des paquets sans fil de la machine vers l'AP se fait avec le cryptage WPA2 (entreprise, d'où l'authentification 802.1x).

L'un des plus gros problèmes que j'ai vus avec les profils de connexion eduroam est lorsque le système d'exploitation soumet automatiquement les informations d'identification de l'utilisateur connecté (c'est la valeur par défaut dans Windows 7 et ci-dessous ... Je pense qu'ils ont changé cela dans Windows 8). J'ai également vu un problème où Windows tentera parfois de se connecter avec le compte d'ordinateur, ce qui n'est généralement pas autorisé par l'Université (seuls les comptes d'utilisateurs le sont).

Une fois connectée à eduroam, votre entreprise acheminera les données via son fournisseur VPN. Selon la façon dont l'établissement auquel vous essayez de vous connecter a configuré le réseau eduroam, cela peut ou peut ne pas fonctionner (le seul endroit où j'ai travaillé n'autorisait certains VPN que sur eduroam, pas tous).

12
Allen Howard

Ce à quoi vous faites référence est appelé portail captif .

Pour qu'un tel portail s'affiche dans votre navigateur Web, les choses suivantes doivent se produire:

  1. Le routeur WiFi attend que votre ordinateur envoie une demande non chiffrée (http: //) à un site Web public.
  2. Il intercepte cette demande
  3. Il répond en usurpant l'identité du site Web que vous souhaitez atteindre et vous envoie une redirection vers le portail

C'est quelque chose qui semble extrêmement mauvais pour tout logiciel de sécurité sur votre ordinateur. Vous effectuez une requête http non chiffrée vers un site Web public via un réseau non fiable et devenez la victime d'une attaque de l'homme du milieu. Oui, vous en êtes conscient et vous ne faites cela que pour voir le portail captif. Mais les portails captifs ne sont pas standardisés, donc votre ordinateur ne peut pas faire la différence.

Si le service informatique autorisait ce processus, il vous permettrait également de naviguer sur Internet via une connexion totalement non sécurisée.

9
Philipp

Généralement, ces hotspots Wi-Fi s'authentifient via une adresse MAC . C'est-à-dire qu'après vous être connecté via leur portail captif, ils se souviennent de l'adresse MAC Wi-Fi de votre système. Le trafic à partir de cette adresse MAC sera autorisé sur leur point d'accès Wi-Fi pendant X minutes/heures, selon leur politique.

Ils le stockent également assez longtemps pour que vous puissiez vous éloigner, revenir, obtenir une nouvelle adresse IP et être reconnu uniquement sur l'adresse MAC. Certains sont vastes. Une fois que vous appuyez sur "TOS Accept" sur le Wi-Fi invité de Target , il se souvient de votre adresse MAC pendant ans et à l'échelle nationale pour démarrer.

Donc, la question est: comment pouvons-nous arriver au Wi-Fi avec une machine avec cette adresse MAC , parcourir http: // neverssl.com (ou tout autre site non HTTPS), être redirigé vers le portail captif, satisfaire les exigences du portail captif et obtenir notre adresse MAC "mémorisée" comme une bonne chose.

Ma pensée est de tiliser un autre appareil qui vous permet de modifier arbitrairement son adresse MAC. Désactivez le Wi-Fi de votre ordinateur portable d'entreprise et définissez son adresse MAC sur votre autre appareil. Utilisez-le pour parcourir les écrans du portail captif. Désactivez son Wi-Fi et activez le Wi-Fi de votre ordinateur portable d'entreprise.

Une autre alternative serait de redémarrer votre ordinateur portable à partir d'une clé USB, dans un système d'exploitation non verrouillé, en supposant que votre entreprise est d'accord avec cela.

D'accord, abordons donc quelques points de votre question.

Les organisations utilisent souvent LDAP et d'autres méthodologies pour l'authentification sans mot de passe et sont encore plus sécurisées.

Un VPN d'infrastructure ne permet qu'une plage IP particulière, qui est autorisée par les paramètres du pare-feu et iptables pour communiquer avec votre intranet/réseau interne. Maintenant, vous obtenez réellement les informations d'identification ou, vous êtes uniquement autorisé à accéder à cet intranet en utilisant un sous-réseau/plage IP particulier souvent en utilisant uniquement le réseau de l'entreprise via le VPN d'infrastructure comme Cisco SSL VPN ou Sophos Infrastructure VPN.

J'espère que cela dissipe certains doutes que vous aviez!

P.S. - L'utilisation d'un VPN sécurisé qui utilise le protocole IPSec qui est implémenté en toute sécurité comme celui du VPN SSL Cisco pour les infrastructures est beaucoup plus sécurisé que les traditionnels et offre une couche de sécurité profonde dans le contexte d'un attaquant externe qui ne peut pratiquement pas accéder au réseau sans avoir accès à l'infrastructure VPN.

2
A Khan

Je ne peux pas dire si les administrateurs système de votre organisation y iront, mais vous pouvez leur suggérer de faire une exception spécifique dans leur configuration VPN pour permettre des connexions directes et non chiffrées au site Web http://neverssl.com / . L'objectif de ce site est d'être détourné par des portails captifs. Personne n'aura jamais besoin de visiter via le VPN d'entreprise, car il est inutile, sauf lorsque vous devez autoriser un portail captif à détourner une connexion HTTP non chiffrée et présenter sa page de connexion, et il n'accepte aucune information, donc personne ne pourrait exfiltrer les données d'entreprise de cette façon. Le risque restant est que le portail captif lui-même pourrait être malveillant, et c'est un risque réel, donc ils pourraient ne pas y aller. Mais ça vaut le coup d'essayer.

0
zwol

Comment aucun mot de passe n'est-il plus sûr que le nom d'utilisateur + mot de passe?

C'est le cas si vous utilisez une clé partagée . Voici comment cela fonctionne, simplement expliqué.

Vous disposez d'une clé sécurisée sur votre ordinateur. Celui auquel vous essayez de vous connecter possède une clé qui lui correspond. Cela permet une connexion sans mot de passe simple, rapide et sécurisée.

Ce lien concerne principalement la connexion à distance à un serveur distant via ssh, sans entrer de nom d'utilisateur ni de mot de passe. Je le fais tout le temps quand j'ai besoin de ssh sur mon serveur bare-metal loué dans un autre état. Certes, il est possible de le faire dans votre cas.

0
Mike Waters