MS-CHAPv2のどのパスワードエントロピー
私は、適度に安全な方法でモバイルをエンタープライズWiFiネットワークに接続することを検討しています。現在のソリューションは、モバイルのユーザー証明書(残念ながらエクスポート可能)またはPEAP-MS-CHAP-v2です。
PEAP-MS-CHAP-v2はオフラインのブルートフォース攻撃に対して脆弱であるため、次の3つのシナリオでパスワードの必要なエントロピーを推定しようとしています。
- 純粋なブルートフォース攻撃
- 心理的に賢いブルートフォース(2つが強制されている場合、人々はおそらく最初に大文字を使用し、数字で終わると想定しています)
- 合理的な辞書攻撃(「20文字のパスフレーズがある場合、4または5語で構成される可能性が高い」という形式)
これらすべてが、攻撃を実行する際の現在の平均CPU/GPU機能と組み合わされています。
必要な複雑さの現実的な見積もりを見た人はいますか?これはエンタープライズネットワークであるため、Word Realisticを使用します。これは、3桁の20文字、2つの大文字、3つの記号が喜んで応援されないためです(パスワードの入力に加えて、作業が必要です:))
通常、一般的なブルートフォースについて、生の推定値を計算する場所はたくさんあります。上記のいくつかの側面を考慮に入れたものを見たことがありますか?
ありがとう!
MS-CHAPv2が完全に壊れています( https://github.com/moxie0/chapcrack を参照)。
NTLMハッシュの回復の複雑さは、ブルートフォースクラッキングの複雑さまで減らすことができますDES暗号化キー。つまり、パスワードの複雑さは関係ありません(興味がある場合のみ)パスワード自体ではなく、NTLMハッシュで-そしてほとんどの場合、あなたはそうなるでしょう;ハッシュはMS-CHAPv2で認証し、派生したMPPEセッションキーを回復するために必要なすべてです)。
tl; dr:記録されたMS-CHAPv2チャレンジ/レスポンスペアのクラッキングが完全に実行可能になりました。セキュリティが気になる場合は、別のものを使用してください。