web-dev-qa-db-ja.com

WPA2-PSKが安全でない場合、ホームユーザーには他にどのようなオプションがありますか?

私がオンラインで読んでいるところから、攻撃を着陸させてWPA2-PSK wifiネットワークを正常にクラックできるようですが、それは本当ですか、そうであれば、ホームユーザーはネットワークをどのように保護できますか? AndroidでWPA2を使用してもwifiパスワードを公開できるアプリケーションを見つけましたが、それはトリックではありませんでした。

WPA2を使用している場合でも、WPSに脆弱性があることを知っていますが、それ以外にWPA2-PSKは本当に安全ですか?

9
mohas

WPA2を実行する2つの(メイン)モードがあります。エンタープライズモードまたは事前共有キー(PSK)モードを使用できます。

エンタープライズモードで実行している場合、認証RADIUSサーバーをセットアップし、アクセスポイントに接続するクライアントで証明書を構成する必要があります。さらに、APを構成する必要がありますこのレベルの努力は、一般的なユーザーの能力を超えていますwell

WPA2-PSKモードは、クライアントとAPの両方が知っている事前共有キーを使用します。これはパスワードであり、単にパスワードを使用することは、mostユーザーの技術的能力の範囲内です。クライアントがAPに接続するときに、パスワードが実際に交換されることはありません。代わりに、発生する 4方向ハンドシェイク があります。このプロセスを通じて、クライアントはPSKを知っていることをAPに証明できます。

WPA2-PSKは本当に安全ではありません。代わりに、ブルートフォース攻撃に対して脆弱であると言います。攻撃者が4ウェイハンドシェイク(簡単なタスク)をキャプチャできる場合、PSKを取得するために、辞書を介してそのハンドシェイクを実行できます。これは重要な部分です。通常のパスワードハッシュと同じように、複雑なパスワードはブルートフォース攻撃を不可能にするための鍵となります。

最後の注記として:WPA2-PSKネットワークは、「 salted "とAPの名前です。 Rainbow tables 存在する最も一般的なAP名の事前計算されたハッシュを使用して存在します(「hilton-hhonors」、「starbucks」などと考えてください)。一意のソルトを取得する(したがって、レインボーテーブルを無効にする)方法は、一意のAP名を持つことです。

編集:PSKを使用する必要がある場合は、「適切な」パスワードの長さに興味がある場合はどうでしょうか。 IEEE 802.11i によると(WPA2を詳述する修正)

パスフレーズは通常、1文字あたり約2.5ビットのセキュリティを備えているため、パスフレーズマッピングはnオクテットパスワードを約2.5n + 12ビットのセキュリティを持つキーに変換します。そのため、比較的低いレベルのセキュリティが提供され、辞書攻撃を受けやすい短いパスワードから生成されたキーが使用されます。キーハッシュの使用は、より強力な形式のユーザー認証を使用することが実用的でない場合にのみお勧めします。 約20文字未満のパスフレーズから生成されたキーが攻撃を阻止する可能性はほとんどありません。

*エンファシス鉱山。ただし、802.11iは2004年に公開されたことに注意してください。その後、コンピューティング能力が変更されました。 20文字はかなり良いと私はまだ同意します。

20
KDEx

WPA2を使用している場合でも、WPSに脆弱性があることを知っていますが、それ以外にWPA2-PSKは本当に安全ですか?

安全を定義します。一般的な意味では、WPSを無効にし、長いPSKを使用し、デフォルトのSSIDを使用しない場合は、問題ありません。ネットワークをブルートフォースにするリソースを持つエンティティがネットワークをターゲットにする理由がない限り、十分に安全です。

セキュリティオプションの増加が見込まれるものは、いくつかあります。まず、Wi-Fi AllianceはWPA2を改善するための認定トラックとしてWPA3を提案しました。 WPA3は標準ベースではなく(つまり、IEEE 802.11の修正に基づいていない)、いくつかの欠陥がありますが、WPA2が無関係になる前にワイヤレスセキュリティを改善することに関心があることを示しています。 WPA関連する規格に置き換えられると、歴史の本に加わると思いますが、WPAと同じように、以前のワイヤレスセキュリティ標準を改善する非標準的な試み。

第2に、上位のエンタープライズワイヤレスソリューションには、デバイスごとにPSKを定義する機能がすでに付属しています。これは標準化されておらず、ベンダーごとに異なる方法で現在行われていますが、これはPSKのクラックによる損傷が少なく、悪用がより顕著になる可能性があることを意味します(PSKがMACアドレスに関連付けられている場合、MACの複製が可能ですが、多くの場合、 MACを使用しようとする両方のデバイスの接続の問題で)。多くのベンダー(IEEEやWFAに大きく投資/関与している)がこのような機能に価値を見出す傾向にある場合、それは標準化され、実装はコンシューマーデバイスにまで及んでいきます。

第三に、WPA2についてさらに議論があり、それが安全であるかどうかは、ユーザーとメディアの両方からの単純な事実です。 IEEEには現在、セキュリティの修正を課せられた802.11ワーキンググループはありませんが、1年か2年後に開始されるとしても驚くことではありません。

ホームユーザーはどのようにネットワークを保護できますか?

  1. WPSを無効にします。ホームワイヤレスネットワークのセキュリティの脆弱性の最大の原因はWPSです。
  2. デバイスドライバーとファームウェアを最新の状態に保ちます。これは、AP /ゲートウェイデバイスとすべてのワイヤレスクライアントの両方に適用されます。
  3. 長いPSKを使用します。多くの場合、20文字以上で十分と考えられますが、ほとんどのデバイスは最大63文字のPSKを受け入れます。
  4. 少し考えてSSID名を選択してください。
    • 暗号化を生成するためにPSKと一緒に使用されるため、あまりにも一般的なものを使用しないようにします。一般的なSSIDには、比較対象となる事前に生成されたハッシュテーブルを含めることができます。
    • あまり一般的ではないSSIDの使用を避けたい。 SSIDがあまりにも珍しい場合、それは潜在的にあなたの家を見つける手段として使用される可能性があります。照会できる情報(多くの場合、座標を含む)が含まれている公的に利用可能なオンラインデータベースがいくつかあります。
1
YLearn

ワイヤレスペンテストを実行しました。WPA2-PSKには強力なパスワードを使用し、時々変更することをお勧めします。

強力なパスワードを使用すると、4ウェイハンドシェイクをキャプチャした後にパスワードを総当たりすることが難しくなります。

また、ホームユーザーとしてWPSを無効にする必要があります。

有効なサーバー証明書を持っていて、サーバー証明書を検証するようにクライアントを設定しない限り、WPA2エンタープライズの使用は、人々が考えるほど役に立ちません。

非表示のSSID、MACフィルタリングなどを有効にすることもできますが、これらも簡単に取得してバイパスできます。

0
P3nT3ster