Насколько безопасно использовать хэш пароля обычного английского слова в качестве ключа WPA2?

Question

У меня есть беспроводной маршрутизатор, и я хочу сложный пароль, который, в некотором смысле, легко запомнить.

Мне пришла в голову идея взять MD5, SHA-1, SHA-256 или любой другой хэш обычного английского слова, такого как "superuser", и использовать этот хэш в качестве ключа WPA2.

Например, скажем, что "суперпользователь" был моим словом выбора. Если бы я выбрал SHA-1, у которого есть мой хэш, я бы тогда настроил свой ключ WPA2 на 8e67bb26b358e2ed20fe552ed6fb832f397a507d .

Это безопасная практика? Обычные английские слова используются - в некотором роде - в ключе, но сам ключ на самом деле является длинной сложной шестнадцатеричной строкой.

Answer 1

Если вы не раскрываете метод того, как вы сгенерировали свой "длинный ключ WPA2" (который вы только что сделали), это просто сложная шестнадцатеричная строка, которая обычно была бы довольно безопасной. С другой стороны, если кто-то знает, что вы используете "обычное английское слово" и используете хеш этого слова в качестве ключа, любой может быстро восстановить последовательность хешей из словаря и использовать ее как радужную таблицу, чтобы разбить ваш пароль довольно быстро.

Если вы ищете «сложный пароль, который все еще легко запомнить», почему бы вам не придумать более длинную парольную фразу, которая что-то значит для вас, но не легко угадывается кем-то еще. Это сделало бы широко распространенные радужные столы практически бесполезными. Начните с фразы (т.е. последовательности слов, предложения и т.д.), Смешайте в последовательности цифр, которые что-то для вас значат (избегайте дней рождения, телефонных номеров и т.д.), И сгенерируйте длинный ключ, который "легко запомнить" таким образом ,

Answer 2

Это так же безопасно, как и любой другой ключ, если вы никому не говорите.

В конце дня ваш ключ будет использовать 0-9, af ... который фактически дает только 16 возможных символов вместо только az, что даст 26. Поэтому, если вы думаете, что вы сообразительны и говорите кому-то: «Я использую SHA-1», вы на самом деле сокращаете их комбинации грубой силы.

Лично я думаю, что было бы намного лучше, если бы у вас было обычное длинное слово или слова со смешанным регистром, а затем добавьте несколько случайных чисел и символов.

Answer 3

Это безопасно, пока никто не может понять метод. Это, конечно, включает в себя хвастовство в офисе, а также следы любого рода, которые вы можете оставить. Например, если вы хотите подключить случайного пользователя к вашей сети, вы, вероятно, будете использовать какое-то клиентское приложение для генерации хэша. Если случайный пользователь замечает, что есть echo "superuser" | sha1sum в журнале, не так уж сложно сложить их вместе.

Поскольку вы должны генерировать хэш извне, большая часть удобства исчезает. Как правило, я бы сказал, что хеширование общего слова может быть приемлемым способом быстрой генерации полуслучайного ключа, но ключ все равно должен копироваться или запоминаться при вводе, чтобы не создавать слабости.

Единственное другое преимущество, которое я могу придумать, - это то, что ключ / фраза / пароль могут быть легко воспроизведены в случае потери. Если вышеуказанные меры безопасности будут приняты, я не вижу причин не использовать хешированные слова в качестве ключей.

Answer 4

Это реальный пример безопасности через безвестность. Где вы предполагаете, что вы в безопасности, или в вашем случае, что вы в большей безопасности, чем пользователи, которые просто ввели свои пароли без этого процесса.

Настоящая проблема заключается в ложном чувстве безопасности. Если вы используете слабый пароль, например 12345678, используя результат SHA1 в качестве пароля WPA2, то взломать хеш WPA2 практически невозможно. Поэтому пользователи обычно не беспокоятся о том, что кто-нибудь сможет их взломать, но как только кто-то узнает ваш скрытый секрет, ваш хеш будет легко взломан. Если вы правильно выберете надежный пароль, вам не о чем будет беспокоиться, даже если ваш секрет будет взломан, для взлома хорошего пароля потребуется гораздо больше времени, чем того стоит ждать злоумышленнику.

Это приведет нас к вопросу, настолько ли плоха безопасность через неизвестность? ИМХО, да, это просто из-за ложного чувства безопасности, того же самого чувства, которое дают автоматизированные инструменты пентестов низкого качества, когда они не показывают уязвимостей после сканирования или когда антивирус говорит, что исполняемый файл чистый.