哪个EAP连接强？基于证书的EAP连接还是基于凭据的EAP连接？

Question

在连接时，我们可以观察到使用RADIUS生成的证书和我们在RADIUS中定义的凭据(如用户名和密码)有什么不同。

Answer 1

证书更安全。

通过提交密码，成功模仿Radius标识的对手将收到来自客户端的挑战-响应。他可以用暴力迫使他们取回原来的密码，尽管密码很强。

使用证书，私钥可以以类似的方式强制使用。但是强制使用非对称密钥是不可能的，因为它由比常规密码更多的位组成。

Answer 2

西布瓦拉有一个很好的回应，但我想再增加一点细微差别。

首先，您的EAP连接应该始终使用TLS加密。因此，您应该使用一种形式的EAP身份验证来实现这一点，例如EAP或EAP。理想情况下，您还将限制密码套件的安全，提供完美的前向保密。

一般来说，证书比密码强，因为密码通常与典型的证书一样缺乏熵。但是，如果您向用户分配凭据，或者用户选择强的伪随机密码(这两种密码本质上都需要密码管理器)，那么密码就可以是安全的或更多的。我通常选择具有200位或更多熵位的伪随机密码，而典型的3072位RSA提供128位的安全性。然而，我不是你的典型用户，如果用户提供自己的密码，他们往往会选择不好。

证书通常不会令人难忘，因此必须独立存储。如果安全地生成，它们就不会受到蛮力的影响。它们的好处还在于，能够拦截连接(因为配置错误的TLS根证书存储、破坏的安全软件或其他错误配置)的攻击者无法了解有关连接的任何信息，因为来自私钥的签名操作不会泄漏私钥本身的任何信息。在某些内部EAP协议中，密码通常以明文形式发送，而其他协议则使用弱散列，因此在这种情况下，密码可能会被公开。

在典型情况下，如果配置正确，攻击者无法拦截连接。目前认为TLS是安全的。

如果您不确定，应该使用证书: RSA ( 3072位或更多)或ECDSA ( 256位或更多)。如果您的组织需要192位安全级别，请使用带有384位曲线的ECDSA。