> > Что касается безопасности, я бы вообще не советовал внедрять CHAP.
> > В лучшем случае (при хорошей реализации), будут передаваться хеши,
> > причем подверженные гораздо более быстрому подбору по ним пароля,
> ^^^^^^^^^^^^^^^^^^
> > чем получаемые от crypt(3). Но это ценой хранения паролей открытым
>
> Даже в случае использования CHAP (type 0x05) ?
Что за type 0x05 не знаю (может все-таки 0x03?), но а так мы о CHAP
ведь и говорим? Да, в его случае, по той причине что никакого password
stretching там нет (есть поле "algorithm", но у него пока только одно
допустимое значение, и я не считаю что это есть смысл менять не меняя
и остальной протокол). Даже в традиционном crypt(3) было 25 итераций,
здесь же нет и этого.
> Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
> Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
> и клиентом - нет. И первостепенной задачей - является защита от "слухачей".
Понятно. А что примерно между NAS и клиентом? Будет получаться PPP
over IP или что-то подобное? Тогда да, буду вынужден согласиться.
> То что при этом пароли будут находиться на серваке в открытом
> виде - это конечно большой минус, но других вариантов я не вижу. :(
Если без дополнительных требований к софту у клиентов, да, все так.
Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
