¿Es seguro usar solo el nombre de usuario y la contraseña (y el certificado del servidor) para la autenticación de conexión OpenVPN? ¿Alguna vez el nombre de usuario o la contraseña se transmiten en texto sin formato al servidor OpenVPN? Encontré un (alemán) sitio web que así lo afirma:
Texto original:
Achtung: Dieser Schutz ist ohne Verschlüsselung sinnlos, da Username und Passwort unverschlüsselt übertragen werden! Es ist in jedem Fall zu empfehlen, die zusätzliche Authentifizierung nur in Verbindung mit der zertifikatbasierten Authentifizierung und Verschlüsselung zu nutzen
traducción al inglés:
Warning: This protection is meaningless without encryption because username and password are transmitted unencrypted! It is recommended in any case to use the additional authentication only in conjunction with the certificate-based authentication and encryption
Usé Wirehark para demostrar que esto es cierto, pero no pude encontrar mi nombre de usuario ni mi contraseña en texto simple en ningún paquete de OpenVPN.
Estoy usando la versión 2.3 del servidor OpenVPN en un host Ubuntu 14.04.