Ну да) не, я такое говно видел совсем недавно.

Вчера )

​​«Всё пропало!» кричать не придется.
Быстро восстановим работу ваших сервисов при аварии: http://bit.ly/2TeXvvr

Наш DRaaS — это:
– Сервис на базе VMware vCloud Availability
– RPO от 5 минут
– Самостоятельное управление аварийным восстановлением из веб-панели vCloud Director
– Оплата только за используемые ресурсы (PAYG)

Если у вас уже есть ресурсы в нашем облаке, проведем демонстрацию сервиса за пару дней.
Если еще нет — тоже проведем, но подготовка займет чуть больше времени.

За бесплатным тестом и подробностями к нам на сайт: http://bit.ly/2TeXvvr

А расскажите, как не хранить пароль в обратимом виде (ОК, в виде plain text equivalent), если нужна аутентификация пользователей WiFi WPA2-Enterprise? Вроде все источники сходятся, что лучшим (поддерживаемым большинством утсройств) протоклом тут будет MS-CHAPv2 , а там хранится хэш, знания которого достаточно для прохождения аутентификации.

Авторизовать это устройство другим методом?..

Сертификатом? Нужно хранить на устройстве приватный ключ или городить огород с токенами.

Гм. Вот есть практически Industry standard связка Access Point -> Radius. Это и Wifi, и аутентификация устройств на коммутаторах. И предлагается на этот стандарт плюнуть, и городить свой уникальный огород ради высоких теоретических построений?
Не, идея не хранить пароль в открытом виде - она правильная и нужная, но не всегда это возможно.

Это не идея, это, увы, жестокая необходимость в рамках Zero Trust, где первый принцип - strict identity verification. Однофакторная аутентификация по паролю в открытом виде это не то что не strict, это просто недопустимо.

Не везде это нужно, и не везде это возможно. Я представляю себе BYOD и попытки объяснить директору, что вместо логина-пароля, чтоб подцепиться к wifi, нужно устраивать пляски с сертификатами.
Всему своя ниша.

Понятно, что сразу прийти к желаемому состоянию не всегда просто. Но и не надо изобретать свой "велосипед", когда Google уже все придумал за нас)) https://www.beyondcorp.com/

Достаточно объяснить директору, что если использовать логин-пароль, то одна удачная беседа с элементами социальной инженерии в курилке или столовой, и в периметре появляется, например недружественный Kali Linux.
При наличии системы управления устройствами распространять сертификаты не так уж и сложно. У нас в компании так: BYOD не вопрос, но для энролла - многофакторная аутентификация, затем проверка соответствия, и только после этого профиль подключения к корп Wi-Fi и VPN. К гостевому Wi-Fi можно подключиться только после прохождения многофакторной аутентификации, которой есть несколько методов - для сотрудников, для гостей, для мероприятий.

Ну, допустим не только Google... ;)

а можно деталей по энроллу?

Я там вижу 802.1x и radius, а это тот самый mschapv2, т.е. то же самый plain text equivalent hash. И принадлежащий Гуглу Андроид ничего лучше не понимает. Да, там есть еще слои, но хранение открытого вида пароля никуда не делось.

Условный доступ. Подключается пользователь, например, к почте - а ему приходит одно письмо, где написано "привет, вот инструкция: иди в магазин приложений, ставь клиент, давай ему права, и будет тебе почта".

Иногда директору это можно объяснить, иногда нет. Иногда цена информации стоит всех этих плясок, иногда нет. Не надо считать абсолютным локальный опыт.

не секьюрно, не буду почтой пользоваться ;)

В смысле? Ему доступ к почте пока никто не дал, он попал ну как бы в карантин. А почта где-то там. :)

клиента с магазина ставить не секьюрно

Если у вас Apple - у вас особо и выбора нет, если Андроид - ну ок, что тогда доверенный источник?