On Fri, May 19, 2000 at 10:44:04AM +0300, Yury Yaroshevsky wrote:
> > текстом на сервере. Если паролей так мало что их все в случае чего
> > можно поменять, вообще не понятно ради чего такие заботы. Если же их
> > не так мало, то открытым текстом хранить нельзя (ибо поменять будет
> > нелегко и больно). К этому можно добавить, что пользователи имеют
> > обыкновение еще и использовать те же самые пароли на другие сервисы
> > (где их своевременно найти и поменять еще сложнее или невозможно).
> > (Последнюю проблему можно решать в случае CRAM-MD5, но мы про CHAP.)
>
> Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
> Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
> и клиентом - нет. И первостепенной задачей - является защита от "слухачей".
А чем тебе легче-то от CHAP тут будет? Кому надо заснифитть будут
просто хэши тырить и их предъявлять (да, для этого придется звонилку
поправить. ну и что?).
> То что при этом пароли будут находиться на серваке в открытом
> виде - это конечно большой минус, но других вариантов я не вижу. :(
--
Slawa Olhovchenkov
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
