<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">On Fri, Aug 10, 2018, 3:16 PM em12345 <<a href="mailto:em12345@web.de">em12345@web.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
> From my point of view, the only thing which makes me uncomfortable about<br>
> wireguard is the lack of any second authentication factor. Your private<br>
> key is embedded in a plaintext file in your device (e.g. laptop), not<br>
> even protected with a passphrase.<br>
<br>
Most VPN authentications are just authorizing the machine and not the<br>
user sitting in front of that machine.<br>
<br>
> Anyone who gains access to that<br>
> laptop is able to establish wireguard connections.<br>
><br>
> Of course, it can be argued that the laptop holds other information<br>
> which is more valuable that the wireguard key, therefore you should<br>
> concentrate on properly securing the laptop itself (*). Furthermore,<br>
<br>
No matter how much keys, passwords or tokens have to be entered by the<br>
user sitting in front of that machine, any other user already on that<br>
machine, will gain sooner or later access to the tunnel. This user or<br>
attacker doesn't even need to see/know wireguard's private key nor does<br>
the attacker need root access. Think of a second user logged in on that<br>
machine.<br>
<br>
It is definitely a bad idea to assume that the tunnel traffic of one<br>
"client" (in terms of wg's client key pair) comes from a specific user.<br>
Which also means that even multi factor VPN authentication still require<br>
all services inside the tunnel to ask for user authentication.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">It should me noted that it is possible to isolate the VPN access to a specific user if you assign login sessions to isolated network namespaces and place the wireguard interface within the user's namespace.</div><div dir="auto"><br></div><div dir="auto">-Reuben</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div></div>