Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Arno Welzel Newsgroups: de.comp.security.misc Subject: =?UTF-8?Q?Re=3a_Vertr=c3=a4gliche_Sonderzeichen?= Date: Mon, 9 Nov 2020 13:16:34 +0100 Lines: 39 Message-ID: References: <5fa679da$0$32756$7b62cf90@news1.net.de> <5fa8ab16$0$32756$7b62cf90@news1.net.de> Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net cRqhL2COIcYHpiC9nXpEZA8CihCFfOgKkM4Dq064ex8d1uOTcN Cancel-Lock: sha1:eMaEv2U5td5mIVSYGGh4cQdmGTI= In-Reply-To: <5fa8ab16$0$32756$7b62cf90@news1.net.de> Xref: csiph.com de.comp.security.misc:32945 Juergen Ilse: > Hallo, > > Arno Welzel wrote: >> Arno Welzel: >>> Paul Muster: >>> >>>> On 07.11.20 11:41, Juergen Ilse wrote: >>>> >>>>> Fuer manche Verwendungszwecke muss das Passwort tatsaechlich im Klartext >>>>> vorliegen, aber von derartigen Verwendungszwecken gibt es eher wenige ... >>>>> So ist es z.B. auf einemRadius Server notwendig,dass er die RadiusPassworte >>>>> im Klartext kennt, wenn Chap-Authentifizierung verwendet werden soll. >>>>> In demFallmuss man abwaegen,worin das groessere Risiko besteht: Dass das >>>>> Passwort inKlartext ueber die Leitung geht (wie bei PAP Authentifizierung) >>>>> oder ob es statt dessen akzeptabler ist, dass das Passwort im Klartext >>>>> beim Provider vorliegt (dann geht auch CHAP, wo das Passwort nicht im Klar- >>>>> text ueber die Leitung geht). >>>> >>>> Man kann doch sicherlich RADIUS über TLS "fahren", sodass trotz PAP kein >>>> Passwort im Klartext im UDP- oder TCP-Paket steht, oder? >>> >>> Ja - dennoch muss der Server selbst das Passwort im Klartext kennen. >> >> Ergänzung: aus diesem Grund ist PAP/CHAP auch nicht mehr zu empfehlen. > > PAP, CHAP und MS-CHAP sin Standard fuer die Authentifizierung von > PPP-Sessions. Ich wuesste jetzt auf Anhieb keinen handelsueblichen [...] "PPP-Session" ist aber etwas anderes als "Zugang zu einer Anwendung doer Website für Endbenutzer". -- Arno Welzel https://arnowelzel.de