Autentificación de contraseña y nombre de usuario de OpenVPN solamente - ¿inseguro?

2

¿Es seguro usar solo el nombre de usuario y la contraseña (y el certificado del servidor) para la autenticación de conexión OpenVPN? ¿Alguna vez el nombre de usuario o la contraseña se transmiten en texto sin formato al servidor OpenVPN? Encontré un (alemán) sitio web que así lo afirma:

Texto original:

Achtung: Dieser Schutz ist ohne Verschlüsselung sinnlos, da Username und Passwort unverschlüsselt übertragen werden! Es ist in jedem Fall zu empfehlen, die zusätzliche Authentifizierung nur in Verbindung mit der zertifikatbasierten Authentifizierung und Verschlüsselung zu nutzen

traducción al inglés:

Warning: This protection is meaningless without encryption because username and password are transmitted unencrypted! It is recommended in any case to use the additional authentication only in conjunction with the certificate-based authentication and encryption

Usé Wirehark para demostrar que esto es cierto, pero no pude encontrar mi nombre de usuario ni mi contraseña en texto simple en ningún paquete de OpenVPN.

Estoy usando la versión 2.3 del servidor OpenVPN en un host Ubuntu 14.04.

    
pregunta arminb 20.08.2015 - 15:24
fuente

1 respuesta

3

El nombre de usuario y la contraseña están encriptados; Esto se confirma en la documentación de OpenVPN :

  

OpenVPN 2.0 y versiones posteriores incluyen una función que permite al servidor OpenVPN obtener de forma segura un nombre de usuario y contraseña de un cliente conectado y usar esa información como base para autenticar al cliente.

    
respondido por el paj28 20.08.2015 - 17:05
fuente

Lea otras preguntas en las etiquetas