国内最好的vpn

由Ata Hakçıl领导的WizCase安全团队发现了一个影响WiFi提供商eduroam用户的重大安全问题。 Eduroam在参与机构提供免费WiFi连接，并为学生、研究人员或教师分配登录凭证。 每个机构都提供时间、人力和其他资源来帮助维持eduroam的运行。 不幸的是，由于每所大学都没有专人负责维护该系统，一个简单的错误配置就可能使其成为黑客的目标，黑客能够欺骗网络并获取用户的登录ID和密码，从而有可能让他们获得机密或个人信息等。

vpn购买哪个好

到2020年底，威凯的安全团队能够连锁多个影响eduroam网络配置的问题。 这一发现揭露了居心不良的黑客捕获eduroam WiFi网络用户凭证的可能性，或许还有更多。

该团队研究了各种配置设置指南，并建立了各种攻击场景的测试环境。 我们的研究表明，在大多数网络配置错误的大学中，有可能在某些移动设备上配置一个 "邪恶孪生 "eduroam网络，该网络与真实网络无法区分。 这可能导致这些设备自动发送其存储的证书，以便连接到未使用eduroamCAT（eduroam的目录应用程序，用于处理证书检查）的用户的邪恶孪生WiFi网络。

值得注意的是，此次暴露并非由于eduroam服务/技术的技术漏洞，而是由于各大学管理员向用户提供了错误的配置说明。 我们于2020年12月联系了eduroam，披露了我们的发现，并在同一天收到了他们的回复：

"感谢您的补充意见。 我们确实偶尔发现一些eduroam身份提供商不遵守eduroam政策的要求，使他们自己的用户得不到保护。 我们绝对同意您的观点，即他们的这种行为是不可接受的。

在得到这个答复后，我们的团队决定推迟公布他们的研究结果，希望eduroam能够在我们联系后通知他们的用户。

xp vpn梯子

Eduroam是一种全球漫游接入服务，最早在欧洲开始发展。 Eduroam允许学生、研究人员、教职员工使用自己所在机构的用户名和密码在不同机构之间获得互联网连接，这对于在不同校区参加活动的用户非常有用。 Eduroam在100多个国家拥有漫游运营商，在全球3000多所大学和其他机构开展业务，拥有数十万用户。

我们的发现表明，网络连接包括不同阶段的身份验证，这些身份验证相互依赖，而目前在一些大学中，其中一些身份验证还没有正确实施。

一般来说，大多数允许用户使用自己的凭证而不是共享密钥连接的WiFi网络都使用一种称为 "可扩展身份验证协议"（EAP）的系统。 Eduroam是使用EAP的网络之一，它依赖于每个用户都有自己的用户名和密码来访问WiFi网络。

EAP的认证工作分为多个连续的阶段，每个阶段都依赖于前一个阶段的正确实施或应用，以确保安全。 通常，认证的最后一个阶段称为 "内部认证"，通过以下两种方法之一完成：

普通认证协议（PAP）：这种方法使用 "服务器证书 "将用户凭据以明文形式传输到身份验证服务器，因为它依赖于 "外部身份验证 "对流量进行完全加密。 下面我们将详细讨论加密证书。

Microsoft质询握手身份验证协议 v2 （MSCHAPv2）：这种方法认识到在 "外部验证 "阶段可能会出现故障，并以散列、非纯文本形式传输密码。

然而，并非每个操作系统都能正确执行证书检查，安卓就是其中之一。 当出现具有相同WiFi名称的网络时，安卓设备不会检查该证书是否可信，甚至不会在连接前通知用户该证书。 当使用服务器证书的网络启用自动连接时，安卓设备将自动尝试连接到该网络并发送您存储的凭据，而不会检查证书的合法性，也不会让用户知道任何可能出错的地方。

即使操作系统正确执行了这种检查，并询问用户是否要继续使用不可信的证书，但大多数用户并不知道证书的作用，并选择继续连接。

据我们所知，iOS设备不允许在未安装EAP配置文件的情况下连接到EAP网络，而EAP配置文件可确保服务器端证书的有效性，因此不存在此问题。 然而，在许多大学的指南中，当从Windows或Android设备连接时，这一步骤被忽略了，鼓励用户直接连接，而无需检查证书。

vpn应用 赛风

为了保证流量的完全安全，服务器和客户端都必须证明其真实性，这样任何一方都无法被冒充。 证书就是为此而生的，它是非对称加密过程中的公钥组成部分。 它是服务器向客户验证其合法性的方式，也是客户用来加密其流量的方式，只有服务器才能解密。

认证过程的一个关键部分是了解您收到的证书是否真的来自您认为的系统。 如果设备无法评估证书的真实性，任何人都可以发送他们拥有密钥的证书，并解密您的信息。

上述关键问题适用于使用HTTPS的网站、VPN服务器，几乎所有应该在客户端和服务器之间加密的东西。 使用VPN不能阻止攻击，但可以帮助阻止攻击者进一步攻击。 使用VPN可以防止攻击者窥探用户的个人信息。

在我们的案例中，这是EAP网络通信方式的一个非常简化的版本。

但是，如果用户不知道为什么证书的有效性很重要，如果他们被指导接受任何证书，或者如果在某些情况下（如Android设备），他们甚至没有被警告证书，操作系统接受每一个证书，那么坏人就可以拦截并窃取人们的密码。

如果 MSCHAPv2 优先于 PAP，以下是完全相同的情况。

由于用户已经设置了与路由器相匹配的网络详细信息，因此他们选择了 "MSCHAPv2 "作为内部验证阶段。 他们不再以明文形式发送凭据，而是以散列格式发送。 尽管攻击者能够访问这些散列凭据，但由于攻击者不再拥有明文密码，而必须破解散列凭据，因此多了一层缓解措施。

vpn应用 赛风

我们无法指责或归咎于任何一个人、机构、系统或流程。 这个问题已经发展到了如此严重的地步，显然有多家公司和组织在其中扮演了角色。

在大多数情况下，大学IT部门是环境配置的最终决定者，他们通常会选择PAP方式来解决这个问题，因为这种方式更容易设置和维护。 据我们所知，Eduroam为大学提供了必要的配置材料来正确设置网络，但许多大学并没有意识到证书有效性的重要性，也没有在他们的设置和连接指南中反映出来。 然而，我们相信，如果更直接地提及这些，可能会大大减少受这种常见错误配置影响的用户数量。

另外，在电脑和iOS设备上执行这种攻击并不像在安卓设备上那么方便，因为它们会识别出我们 "邪恶 "网络的无效证书，并显示类似下面的警告：

然而，在调查过程中，我们发现很多大学自己的证书无效，这意味着用户在第一次连接网络时就会收到这个完全相同的错误。

当大学使用无效证书时，他们的连接指南通常会提到这一步骤，并告诉用户不要理会这一错误，接受证书即可，这可能会强化用户 "总是接受这一错误 "的想法，因为他们不知道为什么会发生这种情况。

vpn应用 赛风

任何使用eduroam或类似基于EAP的WiFi网络的学生或教职员工，如果配置错误，都会面临风险。 如果您使用的是Android设备，并将eduroam WiFi设置为自动连接，恶意人员只需进入您20米左右的范围，就可以捕获您的明文用户名和密码。

下图显示了所有使用eduroam的大学，以及在2020年底我们向eduroam披露之前他们的配置是否安全。 我们使用了公开信息来编制该地图。

在我们审查过的3100多所大学的配置中，有1500多所允许使用PAP方法连接，其中约600所只允许使用PAP内部方法，如果证书设置错误，攻击者可能会得到明文密码。 不提供PAP方法的大学标记为绿色，提供PAP方法和替代方法的大学标记为黄色，只提供PAP方法的大学标记为红色。

vpn应用 赛风

由于大多数学生在WiFi、学校电子邮件和其他任何与大学有关的东西上使用单一密码，这可能会让攻击者在您的WiFi范围内访问您的电子邮件或大学里任何人的电子邮件帐户。 在查看电子邮件时，即使是来自您信任的人的邮件，也要保持怀疑态度。

vpn应用 赛风

在获得您的用户名和密码后，攻击者可以使用相同或类似的凭证接管您的账户，而要取回这些账户可能会很麻烦。 如果您的学校电子邮箱或任何其他账户共享相同的用户名和密码，攻击者很容易入侵这些账户，窃取您的私人信息，或使用您的账户冒充您。

vpn应用 赛风

窃取您的密码后，坏人可以用您的凭证登录到eduroam网络，甚至复制您的MAC地址，这样他们的流量就与您的流量无法区分。 如果他们从事任何非法活动，或有任何不正当的流量引起大学管理部门或其上游ISP的注意，他们可能会追踪到您并对您采取法律行动。

vpn应用 赛风

首先，您可以将此问题通知学校管理部门以得到解决，目前，您可以禁用移动设备上自动重新连接到eduroam的功能以缓解此问题。

在获取您的凭据后，攻击者还可能让您连接，以便查看您的流量，而不是立即中断连接。 使用VPN可以对您的流量进行加密，使攻击者无法看到您的流量。

此外，请记住，即使您所在的大学正确配置了eduroam，当您与其他大学交换时，也可能会暴露在错误配置的情况下。为了确保您的安全，您不必遵循该大学的连接指南--您可以为您漫游的大学找到正确的证书，并为您的设备执行该证书。

vp加速器免费版

要解决这个问题，最简单的方法是从WiFi设置中删除存储的eduroam网络证书，并安装eduroamCAT。 这将为您的设备安装正确的大学EAP配置文件，并确保证书匹配。

如果您无法使用eduroamCAT连接到网络，这可能表明与eduroam目录共享的配置文件和您所在大学使用的实际配置文件可能存在冲突。 您可以联系您的大学，让他们更新配置文件，在此之前，您可以通过禁用 "自动重新连接 "复选框来正常使用eduroam，这将使攻击者更难窃取您的证书。

vpn购买哪个好

如果您对您所在大学的基础设施有发言权，您应该申请加入eduroamCAT计划，该计划要求您正确安装证书并强制执行。 您也可以考虑为了MSCHAPv2而放弃PAP方法，MSCHAPv2可以减轻类似问题的影响，而且没有PAP的明显缺点。 我们还建议贵校联系用户，帮助他们完成上述步骤。

xp vpn梯子

如果有人只是捕获了您的凭据，但从未使用它们登录您的帐户，那么就没有很好的办法知道您的凭据是否被泄露。 但是，如果您怀疑有人在使用您的学校账户，请联系学校的IT部门，询问他们是否可以提供您的电子邮件账户的访问日志，其中应该显示所有的IP地址和您登录账户的时间。 无论如何，我们建议您更改密码，并在今后对每个帐户使用不同的密码。

vpn购买哪个好

WizCase是一个广受欢迎的网络安全平台，每周为成千上万的读者提供建议和技巧。 我们的网站被翻译成30多种语言，赢得了全球众多用户的信任。 我们的团队定期在互联网上发现新的数据泄露事件，并在发布任何报告之前与相关公司取得联系。 我们已经发现了影响许多不同公司的数据泄露事件，包括学习平台, 新闻网站, 热门交友软件，以及医疗行业. 我们共同努力，为每个人创造一个更安全的网络环境。