Pfsense 2.4.1 Freeradius 3 Password Encyrption User MD5
Hallo und ein schönes Wochenende,
wenn ich unter User bei Freeradius 3 unter Password Encyrption MD5 anwähle, dann funktioniert die Authentifizierung unter Diagnose nicht mehr.
Geht das grundsätzlich nicht? Bei Cleartext werden die Passwörter unter der Konfiguration natürlich lesbar abgespeichert. Oder wo muss man das anpassen?
Ist leider ein Doppelpost, an dieser Stelle habe ich vermutlich auch das Problem?
Pfsense 2.4.1 OpenVPN google Authenticator
Danke, der Horst
wenn ich unter User bei Freeradius 3 unter Password Encyrption MD5 anwähle, dann funktioniert die Authentifizierung unter Diagnose nicht mehr.
Geht das grundsätzlich nicht? Bei Cleartext werden die Passwörter unter der Konfiguration natürlich lesbar abgespeichert. Oder wo muss man das anpassen?
Ist leider ein Doppelpost, an dieser Stelle habe ich vermutlich auch das Problem?
Pfsense 2.4.1 OpenVPN google Authenticator
Danke, der Horst
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 353211
Url: https://administrator.de/contentid/353211
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
2 Kommentare
Neuester Kommentar
Dass die pfSense-Leute das "Encryption" nennen, ist eigentlich fürchterlicher Unsinn, denn es muss bei diesen Auswahlmöglichkeiten "Hashing" heißen.
Der Unterschied ist, dass MD5 ein Hashing-Verfahren ist und man aus einem Hash theoretisch niemals wieder auf den ursprünglichen Text zurück schließen kann. Das ist so ähnlich wie eine Quersumme: Du weißt anhand der Zahl "611" nicht, wie viele Zahlen mit welchem Wert zusammenaddiert wurden - aber wenn man dir eine Zahlenreihe gibt und du darüber die Quersumme berechnest, kannst du sagen ob die Quersumme (also der Hash) identisch ist oder nicht.
Da MD5 ohnehin schon lange überhaupt keine Sicherheit mehr bietet, würde ich das auf Cleartext-Passwort stehen lassen.
Denn wenn auf der pfSense nur die MD5-Hashes vorliegen, reduzierst du die Authentifizierungsmöglichkeiten auf PAP (Klartext-Kennwort). Denn alle anderen Verfahren erfordern, dass die pfSense das bei ihr lokal gespeicherte Kennwort kennt - was bei einem Hash nunmal nicht möglich ist.
CHAP oder MSCHAP übermitteln nämlich selbst nur einen salted Hash des Kennworts. Damit kann die pfSense natürlich niemals vergleichen, ob wirklich das korrekte Kennwort eingegeben wurde.
Und deshalb, verehrte Damen und Herren, gehören meiner Meinung nach die für den Begriff "Encryption" verantwortlichen Entwickler so lange mit einem Netzwerkkabel verdroschen, bis sie den Unterschied auswendig erklären können
Der Unterschied ist, dass MD5 ein Hashing-Verfahren ist und man aus einem Hash theoretisch niemals wieder auf den ursprünglichen Text zurück schließen kann. Das ist so ähnlich wie eine Quersumme: Du weißt anhand der Zahl "611" nicht, wie viele Zahlen mit welchem Wert zusammenaddiert wurden - aber wenn man dir eine Zahlenreihe gibt und du darüber die Quersumme berechnest, kannst du sagen ob die Quersumme (also der Hash) identisch ist oder nicht.
Da MD5 ohnehin schon lange überhaupt keine Sicherheit mehr bietet, würde ich das auf Cleartext-Passwort stehen lassen.
Denn wenn auf der pfSense nur die MD5-Hashes vorliegen, reduzierst du die Authentifizierungsmöglichkeiten auf PAP (Klartext-Kennwort). Denn alle anderen Verfahren erfordern, dass die pfSense das bei ihr lokal gespeicherte Kennwort kennt - was bei einem Hash nunmal nicht möglich ist.
CHAP oder MSCHAP übermitteln nämlich selbst nur einen salted Hash des Kennworts. Damit kann die pfSense natürlich niemals vergleichen, ob wirklich das korrekte Kennwort eingegeben wurde.
Und deshalb, verehrte Damen und Herren, gehören meiner Meinung nach die für den Begriff "Encryption" verantwortlichen Entwickler so lange mit einem Netzwerkkabel verdroschen, bis sie den Unterschied auswendig erklären können