Det behöver antagligen inte upprepas att WEP-säkerhet för Wi-Fi för länge sedan har öppnats bredare än Humpty Dumpty i en jordbävning, och inte heller att WPA är lika säker som Lib Dem-parlamentets majoritet. Och ändå avslöjar en nyligen genomförd undersökning av webbhotell outfit UK2 i samband med YouGov att den brittiska allmänheten, om du blir frågad, är din Wi-Fi-anslutning krypterad? svarar vanligtvis inte bovvered.
hur man handlar med rocket league steam
Av de frågade kontrollerar 56% aldrig eller sällan om en hotspot är krypterad innan de loggar in på den. Samma folk är mycket mer benägna att säkra sitt hem-Wi-Fi, så det är inte bara ett medvetslöshet utan mer som ett överflöd av förtroende. Lita på, det vill säga på hotellet, kaféet eller puben som erbjuder Wi-Fi gratis - och tjänsteleverantören.
För att få tillgång till ditt förment säkra trådlösa nätverk behöver han inte fysisk åtkomst till din router, dator eller något annat
Ett sådant förtroende är ofta felplacerat, det är där den potentiella säkerhetsrisken ligger, och som raderar mig snyggt för den faktiska historien som fångade min uppmärksamhet - nämligen att Wi-Fi Protected Setup (WPS) -protokollet har varit riktigt komprometterat. WPS är den knappen som du antagligen tryckt på för att säkra din trådlösa router när du ställde in den för ditt hem- eller småföretagsnätverk, den som hjälpsamt gjorde bort all manuell säkerhetskonfiguration och gjorde konfigurationen av trådlös säkerhet både enkel och snabb. Eller så trodde du.
Sanningen är mindre uppmuntrande, för WPS är utsatt för attacker, men inte den stora röda knappdelen av den. Det finns en annan aspekt av WPS som inte kommer via en knapptryckning utan via en åttasiffrig PIN-kod för att ange, och det är denna PIN-version av WPS-protokollet som har visat sig vara mycket mindre säker än alla antog. Det visar sig att hackaren inte behöver avslöja alla åtta siffror för att knäcka denna kryptering via en standardbrute-force-attack, vilket skulle kräva mycket tid och datorkraft. Istället måste de bara dechiffrera de fyra första siffrorna i PIN-koden.
hur man kontrollerar gillade inlägg på instagram
Ja, du läste det korrekt: den säkra PIN-koden är inte så säker. Visst, bankkort använder en fyrsiffrig PIN-kod och både bankerna och deras kunder verkar tillräckligt nöjda för att sätta sin lit till detta när de använder kort i en bankomat, men det finns en stor skillnad mellan dessa två till synes identiska fall av autentisering.
För att ta ut dina pengar från en bankomat, måste en dålig kille ha ditt fysiska kort och kunna gissa eller på annat sätt få sin PIN-kod. För att få tillgång till ditt förmodligen säkra trådlösa nätverk behöver han å andra sidan inte fysisk åtkomst till din router, dator eller något annat - han kan bara ställa in sin egen dator för att prova alla möjliga kombinationer. (Det är användbart hur länge jag ska knäcka min lösenordskalkylator på Steve Gibson GRC säkerhetswebbplats : matematiska boffins kommer att påpeka dess brister, men det är tillräckligt bra för uppskattningar av back-of-a-fag-packet.)
Säkerhetsforskare har släppt ett verktyg som heter Reaver som kan utnyttja denna brist och gör det möjligt för alla att knäcka den enklare WPS-PIN-koden och få tillgång till klartextversionen av routerns WPA2 fördelade nyckel (PSK), som sedan avslöjas som ett resultat. Den fullständiga PIN-koden skulle ha mer än tio miljoner kombinationer, men den reducerade siffran PIN-kod har bara 11 000 eller omkring. Kom ihåg att det inte spelar någon roll hur komplex PSK som ligger bakom din PIN-kod - med hjälp av WPS PIN-metoden har du skyddat ditt Wi-Fi-nätverk med bara fyra siffror.
En Google-sökning efter PSK-hacking-tutorials visar att även utan denna WPS PIN-sårbarhet är det ganska möjligt att hitta en WPA2-PSK med brute force, men det skulle ta mycket längre tid och en potentiell hacker skulle behöva en mycket god anledning att investera tiden och resurser som krävs. Minska tid och resursbehov tillräckligt och plötsligt blir din router och Wi-Fi-nätverk mer attraktiva mål för ett avslappnat hack.
Det är inte alla dåliga nyheter: du kan helt enkelt inaktivera WPS-funktionen på din router för att ta bort den PIN-kod som Reaver kommer att leta efter. Jag tror, men i skrivande stund har inga detaljer som säkerhetskopierar denna tro, att ett antal routertillverkare antingen har släppt eller arbetar med firmwareuppdateringar för att stänga sårbarheten, antar man genom att stänga av PIN-koden (som inte alla routrar har ett användarkonfigurationsalternativ för).
Bättre än, börja om igen och ställa in ditt Wi-Fi-nätverk med en lång och komplex PSK för att göra brutala kraftattacker opraktiska: tänk i termer av 32 tecken eller mer, med den vanliga blandningen av bokstäver, siffror och specialtecken. Med den Haystack-kalkylatorn jag nämnde ovan ser du att en enkel fyrsiffrig PIN-kod bara tar några sekunder att knäcka, men ett komplext 32-tecken-lösenord skulle ta 6,22 tusen biljoner biljoner biljoner århundraden - även i värsta fall av en massiv sprickuppställning som används för att utföra hundra biljoner gissningar varje sekund!
hur man ändrar Windows 10 aktivitetsfältets färg
WPA2-PSK, den fördelade nyckelimplementeringen älskad av den stereotypa farliga småföretagaren, knäcktes för ett par år sedan, och WPA2 med TKIP är inte heller ett säkert alternativ, vilket gör Wi-Fi - för många människor - ganska helt enkelt osäker. WPA2 med AES är okej, liksom WPA2-Enterprise med en RADIUS-autentiseringsserver eller till och med WPA2-PSK med en 32-teckennyckel. Eftersom WPA2-PSK faktiskt stöder nycklar på upp till 63 tecken, och de flesta trådlösa enheter cachar den nyckeln för alltid så att den bara måste matas in en gång, är det inte så svårt att räkna ut vad du ska göra - ändå är långa lösenord fortfarande alla för ofta ses som onödiga och för komplexa. Suck…
