до сих пор я просто слепо следил за статьями и т. д., чтобы установить тип шифрования пароля Wi-Fi моего маршрутизатора на WPA2-PSK/AES, но что это действительно означает для меня? Разве это только усложняет людям взлом моего пароля какими-либо алгоритмами, которые они используют? скажем, например, если мой пароль Blink281, что действительно делает изменение типа шифрования, чтобы сказать, WPA-PSK?
не очень технически подкованный парень :(
Спасибо
например, если мой пароль Blink281, что действительно означает изменение типа шифрования, чтобы сказать, WPA-PSK?
Использование WPA-PSK сделает ваш пароль очень легко взломанным:
WPA-PSK не является безопасным (по сравнению с WPA2 + AES)
Ваш пароль также слишком короткий и недостаточно сложный. Подробнее об этом позже.
WPA2 + AES - самое безопасное шифрование. Хакерам становится труднее (но не невозможно) взломать ваш WiFi-пароль.
Это базовый список, в котором перечислены текущие методы безопасности Wi-Fi, доступные на любом современном (после 2006 г.) маршрутизаторе, упорядоченные от лучших к худшим:
- WPA2 + AES
- WPA + AES
- WPA + TKIP/AES (TKIP существует как запасной метод)
- WPA + TKIP
- WEP
- Открытая сеть (нет безопасности вообще)
Разница между различными методами шифрования поясняется ниже.
Для максимальной безопасности вы также должны:
Отключите Wi-Fi Protected Setup (WPS) на маршрутизаторе, поскольку это обеспечивает вектор атаки для WPA и WPA2.
Выберите более надежный пароль:
Blink281 слишком короткий.
Он использует ограниченный набор символов (никаких специальных символов, таких как !@#$%^&*()_+ т. д.).
Смотрите ниже для более подробной информации.
Wired Equivalent Privacy (WEP)
Wired Equivalent Privacy (WEP) - наиболее широко используемый алгоритм безопасности Wi-Fi в мире. Это функция возраста, обратной совместимости и того факта, что она появляется первой в меню выбора типа шифрования во многих панелях управления маршрутизатора.
WEP был утвержден в качестве стандарта безопасности Wi-Fi в сентябре 1999 года. Первые версии WEP не были особенно сильны, даже на момент их выпуска, потому что ограничения США на экспорт различных криптографических технологий привели к тому, что производители ограничивали свои устройства только 64-битным шифрованием. Когда ограничения были сняты, он был увеличен до 128 бит. Несмотря на введение 256-битного WEP-шифрования, 128-битное остается одной из самых распространенных реализаций.
Несмотря на изменения в алгоритме и увеличенный размер ключа, со временем в стандарте WEP были обнаружены многочисленные недостатки безопасности, и с ростом вычислительной мощности их стало все проще и проще использовать. Еще в 2001 году были распространены пробные версии эксплойтов, и к 2005 году ФБР провело публичную демонстрацию (в целях повышения осведомленности о слабых сторонах WEP), где они взламывали пароли WEP за считанные минуты, используя свободно доступное программное обеспечение.
Несмотря на различные улучшения, обходные пути и другие попытки укрепить систему WEP, она остается крайне уязвимой, и системы, основанные на WEP, следует обновить или, если обновления безопасности не являются вариантом, заменить. Альянс Wi-Fi официально вышел на пенсию WEP в 2004 году.
Защищенный доступ Wi-Fi (WPA)
Защищенный доступ Wi-Fi был прямым ответом Wi-Fi Alliance и заменой все более очевидных уязвимостей стандарта WEP. Он был официально принят в 2003 году, за год до официального выхода на пенсию WEP. Наиболее распространенной конфигурацией WPA является WPA-PSK (Pre-Shared Key). Ключи, используемые WPA, являются 256-битными, что значительно больше по сравнению с 64-битными и 128-битными ключами, используемыми в системе WEP.
Некоторые из существенных изменений, реализованных с помощью WPA, включали в себя проверки целостности сообщений (чтобы определить, перехватил ли злоумышленник или изменил пакеты, передаваемые между точкой доступа и клиентом) и протокол целостности временного ключа (TKIP). TKIP использует систему ключей для каждого пакета, которая была радикально более безопасной, чем фиксированный ключ, используемый в системе WEP. Позднее TKIP был заменен расширенным стандартом шифрования (AES).
Несмотря на значительное улучшение WPA по сравнению с WEP, призрак WEP часто посещал WPA. TKIP, основной компонент WPA, был спроектирован так, чтобы его можно было легко развернуть с помощью обновлений прошивки на существующие устройства с поддержкой WEP. Как таковой он должен был перерабатывать определенные элементы, используемые в системе WEP, которые, в конечном счете, также использовались.
WPA, как и его предшественник WEP, была продемонстрирована как с помощью концептуальных, так и с помощью публичных демонстраций как уязвимые для вторжения. Интересно отметить, что процесс, с помощью которого обычно нарушается WPA, - это не прямая атака на алгоритм WPA (хотя такие атаки были успешно продемонстрированы), а атаки на дополнительную систему, развернутую с помощью WPA, Wi-Fi Protected Setup (WPS), разработан, чтобы облегчить подключение устройств к современным точкам доступа.
Защищенный доступ Wi-Fi II (WPA2)
С 2006 года WPA была официально заменена WPA2. Одним из наиболее значительных изменений между WPA и WPA2 стало обязательное использование алгоритмов AES и введение CCMP (режим счетного шифра с протоколом кода аутентификации сообщений с цепочкой блоков) в качестве замены для TKIP (все еще сохраняется в WPA2 в качестве резервной системы и для совместимость с WPA).
В настоящее время основная уязвимость системы безопасности для реальной системы WPA2 является неясной (и требует, чтобы злоумышленник уже имел доступ к защищенной сети Wi-Fi, чтобы получить доступ к определенным ключам и затем продолжить атаку на другие устройства в сети). ). Таким образом, последствия для безопасности известных уязвимостей WPA2 практически полностью ограничены сетями уровня предприятия и практически не заслуживают практического рассмотрения в отношении безопасности домашней сети.
К сожалению, та же самая уязвимость, которая является самой большой дырой в броне WPA, вектор атаки через Wi-Fi Protected Setup (WPS), остается в современных точках доступа с поддержкой WPA2. Хотя проникновение в защищенную сеть WPA/WPA2 с использованием этой уязвимости требует от 2 до 14 часов непрерывных усилий с современным компьютером, это все еще является законной проблемой безопасности, и WPS следует отключить (и, если возможно, встроенное ПО доступа точка должна указывать на дистрибутив, который даже не поддерживает WPS, поэтому вектор атаки полностью удаляется).
Источник HTG объясняет: разница между беспроводным шифрованием WEP, WPA и WPA2 (и почему это важно)
В настоящее время лучшая настройка безопасности для вашего дома или офиса WiFi - это WPA2. WPA2 Enterprise - лучший вариант, если ваша организация поддерживает его, но WPA2 Personal отлично подходит для дома и небольших офисов. Не используйте WEP. Он был взломан давным-давно, и злоумышленнику даже не нужно взламывать его, ключ WEP можно передать точно так же, как пароли NTLM.
Самым распространенным методом, используемым для взлома WPA/WPA2, является атака по словарю. Атакующий перехватывает рукопожатие с паролем WPA и передает его через программу, которая пробует многочисленные пароли из списка слов. Вот ключ, если пароль отсутствует в списке слов, они хакера не попадают в вашу систему.
Использование длинного сложного пароля имеет большое значение для обеспечения безопасности вашей сети WPA2. Лучше всего сочетать заглавные и строчные буквы, цифры и специальные символы. Некоторые предпочитают использовать короткое предложение, которое что-то для них значит, заменяя некоторые буквы цифрами и добавляя несколько дополнительных символов.
Например:
M0untainD3wI$G00d4u!Хорошая вещь в таких паролях заключается в том, что они действительно что-то значат для вас, так что их будет намного легче запомнить.
Я только что провел одну атаку по списку слов на мой пароль WPA2. Он попробовал более 1 миллиона словосочетаний из списка без кубиков. Моя сеть все еще безопасна!
Чем больше не словарь выглядит ваш пароль, тем лучше!
Source Wireless Security - Выбор лучшего пароля Wi-Fi
Стандарты безопасности беспроводных сетей касаются не шифрования вашего пароля, а использования пароля для генерации ключей, а затем использования этих ключей для шифрования вашего трафика и аутентификации ваших клиентов.
Пароль шифрования подобен ключу к замку. Замок не защищает свой ключ, замок защищает ваш дом, машину или сейф.
Схемы безопасности беспроводной сети, такие как WPA2-PSK, - это не шифрование вашего пароля, а шифрование вашего трафика ; они шифруют содержимое ваших пакетов до того, как они передаются по радио, так что любой, кто слушает, не может видеть, что вы делаете в сети.
Они также являются методами аутентификации / авторизации: клиенты, которые могут доказать, что знают пароль, считаются настоящими и авторизованными клиентами этой сети.
Но они влияют на возможность взлома вашего пароля или ключа
Точно так же, как хороший замок не должен раскрывать какие-либо подробности того, как выглядит его ключ, хорошая схема шифрования не должна пропускать какую-либо информацию о вашем пароле или упрощать взлом его.
Есть способы , в которых схемы беспроводного шифрования паролей на основе могут оказывать влияние на то, как легко это для кого - то , чтобы использовать грубую силу (много догадок как можно быстрее) , чтобы найти пароль.
Короче говоря, WPA2-PSK берет ваш пароль и скремблирует его вместе с именем вашей сети, чтобы создать длинный, трудно предсказуемый ключ в очень большом пространстве ключей. Он делает это с помощью вычислительно-интенсивного алгоритма, предназначенного для замедления того, сколько догадок злоумышленник может вычислить в секунду.
Это также гарантирует, что ваш пароль (или ключ, который он генерирует из вашего пароля), зашифрованный или нет, не передается по воздуху. Никакая информация о вашем ключе не пропускается процессами аутентификации или шифрования, поэтому злоумышленникам не дают никакой информации, которую они могут использовать для ускорения подбора паролей. Таким образом, чтобы злоумышленники попытались перебить ваш ключ, они должны снова и снова пытаться аутентифицироваться против вашей точки доступа, и ваша точка доступа может занести их в черный список или, по крайней мере, ограничить скорость попыток аутентификации, что заставляет его пытаться смехотворно долго угадать каждый возможный пароль.
В старые добрые времена WEP у WEP не было ни одной из этих мер защиты. Обычно он использовал ваш пароль в качестве вашего ключа, ключи были короткими, и его метод аутентификации передавал просто зашифрованную копию вашего ключа каждый раз, когда клиент подключался к сети. Злоумышленник может захватить этот просто зашифрованный ключ и загрузить его на быстрый компьютер (или систему облачных вычислений) и сделать предположения с использованием грубой силы с чрезвычайно высокой скоростью.
Записка о WPA-PSK
Вы спросили, что в действительности сделает переход с WPA2-PSK (AES-CCMP) на WPA-PSK (TKIP). Это просто сделает вас менее защищенным, если использовать менее продуманные протоколы для аутентификации и шифрования.
WEP был основан на алгоритме шифрования RC4, но он использовал RC4 крайне плохо. Но чипсеты 802.11 того времени имели только аппаратное обеспечение для RC4, поэтому любое решение для недостатков WEP должно было использовать RC4, просто используйте его гораздо лучше. Это то, что сделали TKIP и WPA.
Но в то же время, когда WPA/TKIP стремились исправить WEP, обнаруживались слабые места в RC4, и на крипто-сцене появлялся новый, более безопасный алгоритм AES, поэтому было ясно, что дальнейший путь к встроить оборудование AES в наборы микросхем эпохи 802.11a (2002+) и эпохи 802.11g (2003+). Таким образом, WPA2 с AES вышли прямо на пятки WPA, что сделало оригинальный WPA устаревшим к концу 2003 года.
Было очень мало устройств Wi-Fi, которые могли бы выполнять WPA/TKIP, но не WPA2/AES, и эти несколько устройств были только 802.11b и не могли даже справиться с подключением к смешанной сети 802.11b/g, когда WPA/TKIP был включены, и они были, вероятно, все с рынка до 2004 года. Также оказывается, что включение режима совместимости WPA/TKIP в сети WPA2/AES увеличивает сложность и выявляет ошибки, особенно ошибки, которые нарушают многоадресную передачу и обнаружение служб. Поэтому, если у вас не установлен компьютер Mac 1999-2002 гг. С картой AirPort 802.11b или аналогичная карта 802.11b Lucent WaveLAN, Agere ORiNOCO или Sony VAIO 802.11b, вы должны использовать только режим WPA2.
