Valószínűleg nem kell megismételni, hogy a WEP biztonságát a Wi-Fi-nél régebben szélesebb körben feltörték, mint a Humpty Dumptyt egy földrengésben, és azt sem, hogy a WPA olyan biztonságos, mint egy Lib Dem MP többsége. És mégis, egy nemrégiben végzett felmérés, amelyet az UK2 webhosting-ruházat és a YouGov készített együtt, feltárja, hogy a brit közvélemény, ha megkérdezik, titkosítva van-e a Wi-Fi-kapcsolat? általában nem válaszolva válaszol.
órák után eladhatom a részvényeket
A megkérdezettek 56% -a soha, vagy ritkán ellenőrzi, hogy a hotspot titkosítva van-e, mielőtt bejelentkezne. Ugyanezek a népek sokkal nagyobb valószínűséggel biztosítják otthoni Wi-Fi-jüket, így ez nemcsak a tudatosság kudarca, hanem inkább a túlzott bizalom. Bízzon, vagyis a szállodában, a kávézóban vagy a kocsmában, amely ingyenes Wi-Fi-t kínál - és a szolgáltatóban.
Ahhoz, hogy hozzáférjen az állítólag biztonságos vezeték nélküli hálózathoz, nincs szüksége fizikai hozzáférésre az útválasztóhoz, a számítógéphez vagy bármi máshoz
Az ilyen bizalom gyakran rosszul helyezkedik el, itt rejlik a potenciális biztonsági kockázat, és amely szépen felsorakoztat a tényleges történetért, amely felhívta a figyelmemet - nevezetesen arra, hogy a Wi-Fi Protected Setup (WPS) protokollt valóban és valóban veszélyeztették. A WPS az a gomb, amelyet valószínűleg megnyomott a vezeték nélküli útválasztó biztosításához, amikor otthoni vagy kisvállalkozói hálózatához állította be azt a gombot, amely segítőkészen megszüntette az összes kézi biztonsági konfigurációt, és egyszerűvé és gyorsá tette a vezeték nélküli biztonság beállítását. Vagy legalábbis úgy gondoltad.
Az igazság kevésbé biztató, mert a WPS kiszolgáltatott a támadásnak, de nem a nagy piros gomb része. Van egy másik aspektusa a WPS-nek, amelyet nem egy gombnyomással, hanem egy nyolcjegyű PIN-kóddal lehet megadni, és ez a WPS-protokoll ezen PIN-változata sokkal kevésbé biztonságosnak bizonyult, mint mindenki feltételezte. Kiderült, hogy ennek a titkosításnak a standard durva erővel történő támadással történő feltöréséhez a hackernek nem kell feltárnia mind a nyolc számjegyet, ami nagyon sok időt és számítási teljesítményt igényel. Ehelyett csak a PIN első négy számjegyét kell megfejteniük.
hogyan lehet megmondani, ha valaki láthatatlan viszonyról van szó
Igen, jól olvastad: ez a biztonságos kinézetű PIN nem annyira biztonságos. Bizony, a bankkártyák négyjegyű PIN-kódot alkalmaznak, és a bankok és az ügyfelek is elég boldognak tűnnek abban, hogy ebben bizalmukat bizalmukba helyezhessék, ha kártyákat használnak egy pénzautomatában, de nagy különbség van e két látszólag azonos hitelesítés között.
Ahhoz, hogy pénzt vegyen ki egy ATM-ből, minden rosszfiúnak rendelkeznie kell a fizikai kártyával, valamint meg kell tudnia kitalálni vagy más módon megszerezni annak PIN-kódját. Az állítólag biztonságos vezeték nélküli hálózathoz való hozzáféréshez viszont nincs szüksége fizikai hozzáférésre az útválasztóhoz, a számítógéphez vagy bármi máshoz - egyszerűen beállíthatja saját számítógépét, hogy megpróbálja az összes lehetséges kombinációt. (Hasznos, mennyi ideig feltörhetem a jelszó kalkulátoromat a Steve Gibson GRC biztonsági webhely : a matematika boffins rámutat a hiányosságaira, de ez elég jó a hátsó csomagok becsléséhez.)
A biztonsági kutatók kiadták a Reaver nevű eszközt, amely kihasználhatja ezt a hibát, és lehetővé teszi bárki számára, hogy feltörje az egyszerűbb WPS PIN-kódot, és hozzáférjen az útválasztó előre megosztott kulcsának (PSK) tiszta szövegű verziójához, amely aztán ennek eredményeként kiderül. A teljes PIN-kódnak több mint tízmillió kombinációja lenne, de a csökkentett számjegyből álló PIN-kód csak 11 000 vagy annál közelebb van. Ne feledje, hogy egy pillanatig sem számít, mennyire összetett a PIN-kód mögött fekvő PSK - a WPS PIN-módszer használatával a valójában csak négy számjeggyel védte meg a Wi-Fi-hálózatát.
A Google keresése a PSK hacker oktatóanyagai számára megmutatja, hogy a WPS PIN-sebezhetőség nélkül is meglehetősen megvalósítható a WPA2-PSK keresése nyers erővel, de ez sokkal hosszabb időt vesz igénybe, és egy potenciális hackernek nagyon jó okra lenne szüksége az idő befektetéséhez és szükséges erőforrások. Csökkentse kellőképpen ezt az idő- és erőforrásigényt, és hirtelen az útválasztó és a Wi-Fi hálózat vonzóbb célpontokká válik egy alkalmi hackelés számára.
Nem minden rossz hír: egyszerűen letilthatja az útválasztó WPS funkcióját, hogy eltávolítsa a PIN-kódot, amelyet a Reaverhez hasonlóak keresni fognak. Úgy vélem, de a cikk írásakor nincsenek olyan adatok, amelyek alátámasztanák ezt a meggyőződést, miszerint számos útválasztó-gyártó vagy kiadta, vagy firmware-frissítéseken dolgozik a biztonsági rés megszüntetése érdekében, feltételezhetjük, hogy kikapcsoljuk a PIN-kódot (amelyet nem minden útválasztó felhasználói konfigurációs opcióval rendelkezik).
Még jobb: kezdje elölről, és állítsa be a Wi-Fi-hálózatot egy hosszú és összetett PSK segítségével, hogy a nyers erővel járó támadások kivitelezhetetlenek legyenek: gondolkodjon 32 vagy több karakterben, a betűk, számok és speciális karakterek szokásos keverékével. A fent említett Haystack-számológéppel látni fogja, hogy az egyszerű négyjegyű PIN-kód csak néhány másodpercet vesz igénybe, de egy összetett 32 karakteres jelszóhoz 6.22 ezer billió billió milliárd évszázad szükséges - még a legrosszabb esetekben is hatalmas repesztő tömböt használnak másodpercenként száz billió találgatás elvégzésére!
mikor hoztam létre a Google fiókomat
A WPA2-PSK, a sztereotip veszélyes kisvállalkozások által kedvelt, előre megosztott kulcsos implementáció néhány évvel ezelőtt feltört, és a TKIP-vel ellátott WPA2 sem biztonságos opció, így a Wi-Fi - sok ember számára - eléggé egyszerűen bizonytalan. A WPA2 AES-sel rendben van, csakúgy, mint a WPA2-Enterprise RADIUS hitelesítési szerverrel, vagy akár a WPA2-PSK 32 karakteres kulccsal. Mivel a WPA2-PSK valójában legfeljebb 63 karakter hosszúságú kulcsokat támogat, és a legtöbb vezeték nélküli eszköz ezt a kulcsot örökre tárolja, így csak egyszer kell megadni, nem olyan nehéz kidolgozni, hogy mit kell tennie - mégis a hosszú jelszavak túl gyakran feleslegesnek és túl összetettnek tekintik. Sóhaj…
