¿Qué tan peligroso es confiar en un "Certificado de servidor de ejemplo"?

Navega tus respuestas
1

Al conectarme a la red Wi-Fi de mi universidad, que autentica a los clientes a través de "EAP-PEAP (MSCHAPv2)", recibí el siguiente mensaje:

Notuvemásremedioqueconfiarenestecertificado,porquedelocontrarionotendréaccesoaInternetenlabibliotecadelaescuela.Sinembargo,pormiedo,desactivélaopciónConfiarsiempreenel"Ejemplo de certificado de servidor" antes de hacer clic en Continuar .

¿Existe una vulnerabilidad de seguridad en el sistema de autenticación Wi-Fi de mi universidad? Supongo que incluso otro crea un certificado con el nombre "Certificado de servidor de ejemplo", la firma digital sería diferente, así que probablemente esté seguro, pero confiar en un certificado con un nombre tan extraño todavía me hace sudar.

    
pregunta nalzok 01.12.2017 - 12:55
fuente

1 respuesta

5
  

¿Existe alguna vulnerabilidad de seguridad en el sistema de autenticación Wi-Fi de mi universidad?

Hay múltiples problemas:

  • Parece que simplemente asumieron que los usuarios solo aceptarán cualquier certificado. La forma correcta es usar un certificado con un tema útil que haya sido firmado por una CA que ya sea de confianza o enseñar a los usuarios cómo distinguir un certificado válido de un falso (como revisar la huella digital).
  • Como @schroeder ya lo ha señalado: parece el certificado predeterminado que también podría usarse en otras instalaciones y donde probablemente se conozca la clave privada.

Debido a esto, será fácil para un atacante crear su propio punto de acceso que se vea igual y montar a un hombre en el ataque central para detectar y modificar cualquier conexión que no esté encriptada (es decir, HTTPS suele ser correcto, HTTP simple) no es).

Por supuesto, también puede ser que la universidad haya hecho todo correctamente, pero que estés conectado a un punto de acceso creado por algún atacante que esperaba usuarios crédulos.

    
respondido por el Steffen Ullrich 01.12.2017 - 13:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo garantizar un anonimato razonable al enviar información a una plataforma? ¿Qué tan seguro es este enfoque de autenticación en comparación con el hash?