Перехват пароля PHP Radius

Недавно я написал этот фрагмент кода:

$radius = radius_auth_open();
radius_add_server($radius, $serverIP, $port_no, 'secret', 5, 3);
radius_create_request($radius, RADIUS_ACCESS_REQUEST);
radius_put_attr($radius, RADIUS_USER_NAME, $username);
radius_put_attr($radius, RADIUS_USER_PASSWORD, $password);

$result = radius_send_request($radius);

switch ($result)
{
    case RADIUS_ACCESS_ACCEPT:
    // etc...

И мой var $password вообще не зашифрован, на самом деле, если я зашифрую его с помощью password_hash(), радиус не узнает его.

Таким образом, мой вопрос:

Может ли сниффер подобрать этот пароль? Или radius_send_request уже зашифровывает его из-за параметра RADIUS_USER_PASSWORD?

РЕДАКТИРОВАТЬ:

Я перепутал термины хэш и шифрование.

Radius запутывает пароль, если ему задан атрибут параметра RADIUS_USER_PASSWORD. Этого достаточно для моей системы.

Спасибо!


php radius sniffing
person Matheus Mannes    schedule 28.06.2017    source источник
comment
Почему бы вам не запустить сниффер и не протестировать его?   -  person Alex Howansky    schedule 28.06.2017
comment
Хэш не является шифрованием! password_hash() хеширует строку   -  person RiggsFolly    schedule 28.06.2017
comment
Я думаю, вам следует взглянуть на документы для Radius. Если это механизм безопасного входа, вы можете предположить, что между клиентом и сервером будет какое-то рукопожатие, которое будет согласовывать шифрование данных, передаваемых между cli и сервером. Если нет, то, вероятно, нет. Но если вы хешируете свой пароль перед тем, как передать его этим функциям, то он не будет выглядеть как правильный пароль, когда он попадет на сервер, и он сравнится со своей версией вашего пароля.   -  person RiggsFolly    schedule 28.06.2017
comment
Итак, знаете ли вы, что radius_send_request делает с данными, прежде чем отправить их на сервер Radius, или вы предполагали, что все отправляется на сервер в виде простого текста? Если вы не знакомы с протоколом или функциями, которые вы используете, может быть разумно убедиться, что ваши предположения верны, прежде чем делать такие вещи, как случайное хеширование паролей.   -  person Mjh    schedule 28.06.2017
comment
Ладно, я не умел нюхать, теперь знаю. И Радиус запутывает пароль. И я поменял термины хэш и шифровать из-за моего родного языка. простите за это   -  person Matheus Mannes    schedule 28.06.2017

Ответы (1)


arrow_upward
0
arrow_downward

Radius запутывает пароль, если ему задан атрибут параметра RADIUS_USER_PASSWORD.

Так что никто не сможет перехватить вашу аутентификацию по радиусу.

person Matheus Mannes    schedule 28.06.2017