Вопрос или проблема
Какие различия мы можем наблюдать при подключении с использованием сертификата, сгенерированного с помощью RADIUS, и учетных данных, которые мы определяем в RADIUS, таких как имя пользователя и пароль.
Сертификаты более безопасны.
При отправке пароля соперник, который смог бы присвоить себе личность Radius, получит ответ на запрос от клиентов. Он может использовать метод грубой силы, чтобы получить первоначальный пароль, если только пароль не слишком слаб.
С сертификатами частный ключ также может быть добыт с помощью грубой силы аналогичным образом. Но взлом асимметричного ключа практически невозможен, так как он состоит из гораздо большего количества бит, чем обычный пароль.
Sibwara дал хороший ответ, но я хочу добавить немного нюансов.
Во-первых, ваше EAP-соединение всегда должно быть зашифровано с помощью TLS. Поэтому вы должны использовать форму аутентификации EAP, которая это делает, такую как EAP-TLS или EAP-TTLS. В идеале вы также ограничите наборы шифров безопасными, которые обеспечивают идеальную предварительную секретность.
В общем, сертификаты сильнее, чем пароли, потому что пароли, как правило, не обладают такой же энтропией, как типичный сертификат. Однако если вы назначаете учетные данные пользователям или они выбирают сильные, псевдослучайные пароли (оба варианта в основном требуют менеджеров паролей), тогда пароль может быть таким же безопасным или даже более безопасным. Я обычно выбираю псевдослучайные пароли с 200 и более битами энтропии, в то время как типичный RSA на 3072 бита обеспечивает 128 бит безопасности. Однако я не типичный пользователь, и если пользователи предоставляют собственные пароли, они часто выбирают неудачно.
Сертификаты обычно трудны для запоминания и поэтому должны храниться отдельно. Если они сгенерированы безопасно, их нельзя взломать. У них также есть преимущество в том, что злоумышленник, который может перехватить соединение (из-за неправильно настроенного хранилища корневых сертификатов TLS, сломанного программного обеспечения безопасности или другой misconfiguration), не сможет узнать ничего о соединении, так как операция подписи с использованием частного ключа не раскроет ничего о самом частном ключе. Пароли часто отправляются в открытом виде в некоторых внутренних протоколах EAP, а другие протоколы используют слабое хеширование, поэтому в этом случае пароль может быть раскрыт.
В типичном сценарии злоумышленники не могут перехватить соединение, если конфигурация правильная. В настоящее время TLS считается безопасным.
Если вы не уверены, вам следует использовать сертификаты: либо RSA с 3072 битами или более, либо ECDSA с 256 битами или более. Если вашей организации нужен уровень безопасности в 192 бита, используйте ECDSA с кривой в 384 бита.
Ответ или решение
Вопрос о том, какое соединение EAP (Extensible Authentication Protocol) является более надежным — основанное на сертификатах или на учетных данных — требует тщательного рассмотрения различных аспектов безопасности и удобства.
Сравнение: Сертификаты против Учетных Данных
Безопасность
-
Сертификаты:
- Сертификаты предоставляют более высокий уровень безопасности, поскольку они используют технологии асимметричного шифрования. Это означает, что даже если злоумышленник перехватит трафик, ему будет сложно восстановить закрытый ключ, который используется для подписи. Процесс брутфорсинга асимметричного ключа требует значительно больших вычислительных ресурсов по сравнению с паролями.
- При должной конфигурации и хранении сертификаты не подвержены атакам типа "перехват", так как сам процесс аутентификации не раскрывает информацию о приватном ключе.
-
Учетные Данные:
- Методы аутентификации на основе паролей представляют собой более уязвимую точку. Если злоумышленник успешно подменит личность RADIUS-сервера, он может повторно использовать аутентификацию, пытаясь подобрать пароли. Если пользователи выбирают слабые пароли, это значительно снижает уровень безопасности.
- В большинстве протоколов, использующих пароли, данные могут передаваться в незашифрованном виде, что открывает возможность их перехвата.
Удобство Использования
-
Сертификаты:
- Сертификаты требуют определенной инфраструктуры для управления ими (PKI — Public Key Infrastructure). Это может быть проблемой для организаций, не имеющих необходимых ресурсов для их внедрения и поддержки. Однако, при правильном управлении, сертификаты обеспечивают более надежный и автоматизированный процесс аутентификации.
-
Учетные Данные:
- Пароли легче воспринимаются пользователями и не требуют сложных настроек. Однако, чтобы гарантировать их безопасность, пользователям часто необходимо использовать менеджеры паролей для генерации и хранения надежных паролей, что также требует обучения.
Заключение
В условиях, когда безопасность данных имеет первостепенное значение, соединение EAP, основанное на сертификатах, имеет явные преимущества по сравнению с соединением, основанным на учетных данных. Стандарт EAP-TLS, использующий сертификаты, предлагает надежное шифрование и защищает информацию даже в случае перехвата трафика.
С точки зрения безопасности, сертификаты превосходят пароли благодаря своей сложности и стойкости к атакам. Несмотря на то, что существует возможность использования надежных паролей, реальность показывает, что пользователи чаще всего выбирают простые и предсказуемые пароли. В качестве рекомендации для организаций: если у вас есть возможность, используйте сертификаты (рекомендуются RSA от 3072 бит или ECDSA от 256 бит), чтобы обеспечить максимальный уровень безопасности для ваших EAP-соединений.
Таким образом, учитывая все вышесказанное, соединение EAP на основе сертификатов выглядит более сильным выбором с точки зрения безопасности и устойчивости к угрозам.