你为什么要用EAP-TTLS而不是PEAP呢？

Question

正如我所理解的，EAP和PEAP在无线网络中实现时共享相同级别的安全性。两者都只通过证书提供服务器端身份验证。

EAP的缺点可能是Microsoft Windows中的非本地支持，因此每个用户都必须安装额外的软件。

EAP的好处可以是支持不太安全的身份验证机制(PAP、CHAP、MS)，但是为什么在现代和安全的无线系统中需要它们呢？

你有什么意见？为什么我应该实现EAP-TTLS而不是PEAP？假设我有大多数的Windows用户，中等的Linux用户，最少的iOS，OSX用户。

Answer 1

如果你的半径后端支持它，你可以两者都支持。然而，一些客户端“自动”-connects(例如Mac >= 10.7 + iOS )，如果您支持多个类型，它们的工作可能会不太理想，因为它们只是尝试不同的组合，直到其中一个运行起来，也就是说，如果只有一种连接方式，它们连接的麻烦就会更少。

因此，基本上:只支持PEAP，如果您有需要TTLS的客户端，则支持PEAP+TTLS。

Answer 2

PEAPv0、PEAPv1和TTLS具有相同的安全属性。

PEAP是一个包含EAP的SSL包装器。TTLS是包含RADIUS身份验证属性的直径TLVs的SSL包装器。

如果后端身份验证数据库以不可逆转的散列格式存储凭据，例如bigcrypt或任何与MSCHAP (NT-OWF)不兼容的格式，则EAP-TTLS可能是有用的(而不是EAP-PEAP或EAP-TTLS)。在这种情况下，无法使用基于CHAP的任何方法进行身份验证。

虽然您也可以使用EAP-PEAPv1-GTC来模拟PAP，但这并不是客户端所广泛支持的。

PEAP在TTLS上有一些附加的包袱，比如PEAP版本协商、PEAPv1中的历史不兼容(例如从PRF派生主密钥时的客户端魔术)，这些问题已经进入了早期的实现。

我通常看到在嵌入式客户机中实现的EAP，比如无线设备中的订阅模块，而PEAP更多地被笔记本电脑和移动手机所使用。

过去，Windows客户端不需要安装第三方软件就不支持EAP-TTLS。现在支持从Windows 8开始使用EAP-TTLS。

一些额外的想法：

EAP是由RADIUS供应商发明的。EAP 0是微软发明的。EAP 1来自IETF进程。

在PEAPv2上有一些额外的IETF工作，通过对内部身份验证方法的加密绑定，可以使系统更加安全。据我所知，这件事并没有走得太近。

Answer 3

正如磁盘食人所写的，人们使用TTLS的主要原因是您可以允许radius服务器以这种方式查看明文密码，这可能会根据身份验证后端的不同而有用。

对PEAP有利的一个较新的考虑是，只有在RADIUS服务器提出请求时，SoH才是AFAICT，而在Microsoft上请求它的唯一方法是在PEAP会话期间。因此，如果您想从无代理评估中获得类似代理的评估(更多AV供应商可能即将提供支持)，那么您将需要PEAP，然而，如果您希望通过使用裸露密码(因为见鬼，那些不会提供内部隧道服务的大型国内流离失所者，并且他们的用户不可能输入)使用TTLS，那么您将需要PEAP。