Frage Ist es für die meisten Enthusiasten wirklich möglich, die Wi-Fi-Netzwerke von Menschen zu knacken?


Können die meisten enthusiastischen Benutzer (selbst wenn sie keine Profis sind) bekannte Techniken verwenden, um die Sicherheit eines durchschnittlichen Heim-Routers zu durchbrechen?

Einige grundlegende Sicherheitsoptionen sind:

  • Starkes Netzwerkpasswort mit verschiedenen Verschlüsselungsmethoden
  • Benutzerdefiniertes Passwort für den Routerzugang
  • WPS
  • Keine SSID-Übertragung
  • MAC-Adressfilterung

Sind einige davon kompromittiert und was ist zu tun, um das Heimnetzwerk sicherer zu machen?


156
2018-03-24 22:56


Ursprung


Mit den richtigen Werkzeugen und genügend Zeit ist alles möglich. - joeqwerty
MAC-Filterung ist absolut sinnlos - Ramhound
@Mondrianaire Für den Internetzugriff benötigte mein Hochschulnetzwerk eine Anmeldung und später würde ich Sie anhand der MAC-Adresse identifizieren. Es war trivial, die Adresse eines meiner Wohnheimnachbarn vorzutäuschen. Wenn ich mit dieser Verbindung etwas Schlimmes getan hätte, wäre es so identifiziert worden, als ob sie es getan hätte. Ich würde sagen, dass das Filtern von MAC-Adressen eines der Dinge ist, die zu einfach sind, um ein falsches Sicherheitsgefühl zu erzeugen. - Izkata
Nun, ich sage, MAC-Filterung ist keine Sicherheitsfunktion - Ramhound
@Mondrianaire - Es bringt ein Loch. Wenn jemand seine MAC-Adresse als Addresse-hier-Adresse maskiert, ist es ein Hinweis darauf, dass jemand, der nicht dort sein sollte, in Ihrem Netzwerk war. Wenn Sie MAC-Adressen nicht filtern, werden sie sich wahrscheinlich nicht darum kümmern. - Compro01


Antworten:


Ohne die Semantik zu streiten, ist die Aussage wahr.

Es gibt mehrere Standards für die WLAN-Verschlüsselung, einschließlich WEP, WPA und WPA2. WEP ist kompromittiert, wenn Sie es verwenden, kann es sogar mit einem starken Passwort trivial sein. Ich glaube, dass WPA viel schwieriger zu knacken ist (aber Sie haben möglicherweise Sicherheitsprobleme in Bezug auf WPS, die dies umgehen), und ab Oktober 2017 bietet WPA2 auch fragwürdige Sicherheit. Außerdem können selbst ziemlich harte Passwörter rohe Gewalt sein - Moxie Marlinspike - ein bekannter Hacker bietet einen Service an um dies für US $ 17 mit Cloud Computing zu tun - obwohl es nicht garantiert ist.

Ein starkes Router-Passwort wird nichts daran ändern, dass jemand auf der WIFI-Seite Daten über den Router sendet, so dass dies irrelevant ist.

Ein verstecktes Netzwerk ist ein Mythos - während es Felder gibt, um ein Netzwerk nicht in einer Liste von Websites erscheinen zu lassen, signalisieren die Clients den WLAN-Router, daher wird seine Anwesenheit trivial erkannt.

MAC-Filterung ist ein Witz, da viele (die meisten / alle?) WIFI-Geräte programmiert / neu programmiert werden können, um eine existierende MAC-Adresse zu klonen und die MAC-Filterung zu umgehen.

Netzwerksicherheit ist ein großes Thema und nicht etwas, das einer Superuser-Frage zugänglich ist, aber die Grundlagen sind, dass Sicherheit in Schichten aufgebaut ist, so dass, selbst wenn einige kompromittiert werden, nicht jedes System durchdrungen werden kann und Wissen, also ist Sicherheit nicht so sehr eine Frage von "kann es gehackt werden", sondern "wie lange wird es dauern" zu hacken. WPA und ein sicheres Passwort schützen vor "Joe Average".

Wenn Sie den Schutz Ihres WIFI-Netzwerks verbessern möchten, können Sie es nur als Transportschicht betrachten und alles über diese Schicht verschlüsseln und filtern. Dies ist für die überwiegende Mehrheit der Benutzer ein Overkill, aber eine Möglichkeit wäre, den Router so einzustellen, dass er nur Zugriff auf einen bestimmten VPN-Server unter seiner Kontrolle erlaubt und jeden Client über die WIFI-Verbindung über das VPN authentifizieren muss - Selbst wenn das WIFI beeinträchtigt ist, gibt es andere [härtere] Schichten zu besiegen. Eine Teilmenge dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.

Eine einfachere Alternative zum besseren Absichern eines Heimnetzwerks ist es, WIFI ganz zu vernachlässigen und nur verkabelte Lösungen zu benötigen. Wenn Sie Dinge wie Handys oder Tablets haben, ist das vielleicht nicht praktisch. In diesem Fall können Sie die Risiken mindern (sicher nicht eliminieren), indem Sie die Signalstärke Ihres Routers reduzieren. Sie können auch Ihr Haus abschirmen, so dass die Frequenz weniger austritt - ich habe es nicht getan, aber starkes Gerücht (recherchiert) hat es, dass sogar Aluminiumgitter (wie Fliegengitter) über die Außenseite Ihres Hauses, mit guter Erdung einen riesigen machen können Unterschied zur Menge des Signals, das entkommt. [Aber, natürlich, tschüss Handy-Abdeckung]

Auf der Schutzfront kann eine andere Alternative sein, Ihren Router zu bekommen (wenn es dazu in der Lage ist, die meisten nicht, aber ich könnte mir Router vorstellen, die openwrt und möglicherweise tomate / dd-wrt können), um alle Pakete in Ihrem Netzwerk zu protokollieren und im Auge behalten - Hell, sogar das Überwachen von Anomalien mit Gesamtbytes innerhalb und außerhalb von verschiedenen Schnittstellen könnte Ihnen ein gutes Maß an Schutz bieten.

Am Ende des Tages stellt sich vielleicht die Frage "Was muss ich tun, damit sich Hacker keine Zeit in mein Netzwerk eindringen lassen" oder "Was sind die wahren Kosten, wenn mein Netzwerk kompromittiert wird"? von dort. Es gibt keine schnelle und einfache Antwort.

Aktualisierung - Okt 2017

Die meisten Clients, die WPA2 verwenden, können - sofern sie nicht gepatcht werden - ihren Datenverkehr im Klartext unter Verwendung von "Wichtige Neuinstallationsangriffe - KRACK"  - Das ist eine Schwäche des WPA2-Standards. Bemerkenswerterweise gibt dies keinen Zugriff auf das Netzwerk oder die PSK nur für den Verkehr des Zielgeräts.


146
2018-03-24 23:23



Ja, jemand kann seine MAC-Adresse in eine Whitelist ändern, aber a) verursacht dies nicht sofort spürbare Probleme für den ursprünglichen Besitzer der MAC-Adresse, und b) ist das nicht eine ziemlich obskure Sicherheit durch Unklarheit? Wann sendet ein Computer seinen MAC im Klartext über ein Heimnetzwerk? - bright-star
Die am häufigsten verwendete Zeit ist ein Computer entlarvt Es ist MAC-Adresse, wenn es eine Netzwerkverbindung verwendet - nicht wirklich selten. Wie für obskure - es ist nicht unklar im Bezug auf den Kontext der Frage, was ein Enthusiasten tun könnte, was vermutlich Web-Suche effektiv umfasst. - Ram
@landroni - Nein, nicht leicht, aber wenn das Passwort aus gemeinsamen Wörtern zusammengesetzt ist, ist es immer noch gut im Bereich des Crackens. Das Knacken muss nicht von der Maschine gemacht werden, die versucht, sich zu verbinden - vielmehr kann sie die Informationen, die sie benötigt, ernten und in die Cloud senden, um mit viel mehr Energie, Ressourcen und sogar Regenbogen-Tabellen zu knacken. Ein zufälliges 20-stelliges Passwort ist jedoch ziemlich kugelsicher. Schau es dir an cloudcracker.com - davidgo
@clabacchio, weil Sie jetzt Ihre Benutzer sehr belästigt haben? - Cruncher
Wenn @clabacchio das Netzwerk komplett herunterfahren würde, wäre es auch "sicherer". Wären die Nutzer damit zufrieden? - o0'.


Wie andere gesagt haben, ist SSID-Verstecken trivial zu brechen. Tatsächlich wird Ihr Netzwerk standardmäßig in der Windows 8-Netzwerkliste angezeigt, auch wenn es seine SSID nicht sendet. Das Netzwerk sendet immer noch seine Präsenz über Beacon-Frames in beide Richtungen; Es enthält nur die SSID im Beacon-Frame, wenn diese Option aktiviert ist. Die SSID ist aus dem vorhandenen Netzwerkverkehr leicht zu erhalten.

MAC-Filterung ist auch nicht sehr hilfreich. Es könnte den Skript-Kiddie, der einen WEP-Crack heruntergeladen hat, kurz verlangsamen, aber es wird definitiv niemanden aufhalten, der weiß, was sie tun, da sie nur eine legitime MAC-Adresse spoofen können.

Was WEP angeht, ist es komplett kaputt. Die Stärke Ihres Passwortes spielt hier keine Rolle. Wenn Sie WEP verwenden, kann jeder eine Software herunterladen, die ziemlich schnell in Ihr Netzwerk einbricht, selbst wenn Sie einen starken Schlüssel haben.

WPA ist wesentlich sicherer als WEP, wird aber immer noch als defekt angesehen. Wenn Ihre Hardware WPA, aber nicht WPA2 unterstützt, ist es besser als nichts, aber ein entschlossener Benutzer kann es wahrscheinlich mit den richtigen Tools knacken.

WPS (Wireless Protected Setup) ist der Schwachpunkt der Netzwerksicherheit. Deaktivieren Sie es unabhängig davon, welche Netzwerkverschlüsselungstechnologie Sie verwenden.

WPA2 - insbesondere die Version, die AES verwendet - ist ziemlich sicher. Wenn Sie ein anständiges Passwort haben, wird Ihr Freund nicht in Ihr WPA2-gesichertes Netzwerk gelangen, ohne das Passwort zu erhalten. Nun, wenn NSA versucht, in Ihr Netzwerk zu gelangen, ist das eine andere Sache. Dann sollten Sie Ihr WLAN nur ganz ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und all Ihre Computer. Wenn genügend Zeit und Ressourcen zur Verfügung stehen, kann WPA2 (und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und viel mehr Fähigkeiten erfordern, als ein durchschnittlicher Bastler zur Verfügung haben wird.

Wie David sagte, ist die wirkliche Frage nicht "Kann das gehackt werden?" aber, "Wie lange dauert es jemanden mit einer bestimmten Reihe von Fähigkeiten, um es zu hacken?" Offensichtlich ist die Antwort auf diese Frage sehr unterschiedlich in Bezug auf die jeweiligen Fähigkeiten. Er ist auch absolut richtig, dass Sicherheit in Schichten erfolgen sollte. Dinge, die Ihnen wichtig sind, sollten nicht ohne vorherige Verschlüsselung über Ihr Netzwerk gehen. Also, wenn jemand in Ihr WLAN einbricht, sollten Sie nicht in der Lage sein, irgendetwas sinnvolles zu tun, abgesehen davon, dass Sie vielleicht Ihre Internetverbindung benutzen. Jede Kommunikation, die sicher sein soll, sollte immer noch einen starken Verschlüsselungsalgorithmus (wie AES) verwenden, der möglicherweise über TLS oder ein solches PKI-Schema eingerichtet wurde. Stellen Sie sicher, dass Ihre E-Mails und andere vertrauliche Internetdaten verschlüsselt sind und keine Dienste (z. B. Datei- oder Druckerfreigabe) auf Ihren Computern ausgeführt werden, ohne dass das richtige Authentifizierungssystem vorhanden ist.


Update 17. Oktober 2017 - Diese Antwort spiegelt die Situation vor der kürzlichen Entdeckung einer neuen großen Schwachstelle wider, die sowohl WPA als auch WPA2 betrifft. Das Schlüssel Neuinstallation AttaCK (KRACK) nutzt eine Schwachstelle im Handshake-Protokoll für Wi-Fi. Ohne auf die chaotischen Details der Kryptographie (die Sie auf der verlinkten Website lesen können) einzugehen, sollten alle Wi-Fi-Netzwerke als defekt betrachtet werden, bis sie gepatcht werden, unabhängig davon, welcher bestimmte Verschlüsselungsalgorithmus sie verwendet.

Related InfoSec.SE Fragen zu KRACK:
Folgen des WPA2 KRACK Angriffs
Wie kann ich mich vor KRACK schützen, wenn ich mir kein VPN leisten kann? 


52
2018-03-25 02:22



Gute Antwort, besonders das bisschen über WPA2-AES. Ich würde hinzufügen, dass die SSID verwendet wird, um einen WPA-Schlüssel zu salzen. Wenn Sie also nicht möchten, dass Ihr WPA-Schlüssel im Rainbow-Format angezeigt wird, sollten Sie ihn am besten auf "NETGEAR" umstellen. - zigg
Wie schwer ist es, eine MAC-Adresse zu fälschen, da Sie eine auf der Whitelist haben müssen. Ich weiß alles, was übertragen wird kann manuell abgeholt werden, aber ist das nicht viel Arbeit? - Seth
Nein, es ist unglaublich einfach. Es wird zu Beginn jedes einzelnen Frames im Klartext gesendet. Sie müssen also nur ein einziges legitimes Paket im Netzwerk erfassen, um einen MAC auf der weißen Liste zu finden. Wie ich in meiner Antwort gesagt habe, ist es für jeden, der weiß, was sie tun, trivial. - reirab


Da andere Antworten auf diesen Thread gut sind, denke ich, dass für diejenigen, die eine konkrete Antwort (naja ... das ist SuperUser, ist es nicht?), Die Frage könnte leicht übersetzt werden als: "Was soll ich wissen, um mein WiFi-Netzwerk sicher zu machen?".
Ohne eine der anderen Antworten zu negieren (oder zu bestätigen), ist dies meine kurze Antwort:

Die Worte des Kryptologen Bruce Schenier könnten für viele Nutzer ein wertvoller Hinweis sein, sich daran zu erinnern:

Die einzige wirkliche Lösung ist das Ziehen des Netzkabels.

Dies kann oft angewendet werden drahtlose Netzwerke: Müssen wir ständig arbeiten?
Viele Router haben eine WLAN-Taste Aktivieren / Deaktivieren von Wireless, wie der D-Link DSL-2640B .
Wenn nicht, können Sie immer Web-Aktivierung / Deaktivierung automatisieren von Wireless mit Tools wie iMacros  (verfügbar als Erweiterung für Firefox oder als eigenständiges Programm) unter Windows und vielen anderen unter Linux.

Und hier sind zwei Tricks für WPA (Bitte, WEP vergessen) Passwort (a gutes WPA-Passwort wird Angriffe sehr schwierig machen) Schöpfung (Behalte das Standardpasswort nicht bei):

  1. Benutzen nicht vorhandene und / oder Fremdwörter: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (da kein einfaches Wörterbuch verwendet werden kann, um sie zu finden).
  2. Erstellen Sie Ihren eigenen leicht zu merkenden (zumindest für Sie) Satz und definieren Sie Ihr Passwort, indem Sie das erste Zeichen jedes Wortes nehmen. Die Ergebnisse werden a schwer zu knacken (Mindestens 8 Zeichen) leicht zu erinnern Passwort, das beinhaltet Groß-und Kleinbuchstaben, Zahlen und einige andere nicht alphabetisch Figuren:
    "Du hast zwei Söhne und drei Katzen und du liebst sie." -> "Yh2sa3c, aylt."

Und um Gottes willen: Deaktivieren Sie WPS jetzt sofort! Es ist total fehlerhaft.


14
2018-03-25 02:51



Bitte, vergiss WPA und WPA2-TKIP. Nutze deine Tricks an WPA2-AES. - Darth Android
Was wäre der Sinn eines leicht erinnerbaren WLAN-Passwortes? Schließlich verbinden Sie Geräte nur sehr selten. Verwenden Sie einfach ein gutes langes zufälliges Passwort - wie Lm, -TMzQ7cf \ 6. "OwhAnpqC *. - Hans-Peter Störr
Wenn Sie eine statische Gruppe von Geräten haben, die sich selten ändern, OK. Einige Leute haben Freunde mit Gadgets, die sie aktivieren müssen, und zufällige Passwörter sind hier problematisch. (Es kann andere Lösungen wie ein Gast-Netzwerk geben, aber das erlaubt weiterhin den Zugriff auf Nicht-Gäste, die Ihre Ressourcen nutzen möchten) - davidgo
@hstoerr, nach meiner Erfahrung als Endnutzer und Unternehmensberater habe ich (fast) immer wieder festgestellt, dass komplexe Passwörter lästig sind und schließlich verworfen werden. Sie brauchen eine Kompromisslösung. - Sopalajo de Arrierez
Du hast Recht, @IQAndreas: Es ist denkwürdiger und schwieriger zu knacken. Aber nicht einfacher zu tippen. Und, in meinen Tests mit HashCat, nur für den kürzesten Modus Yh2sa3c,aylt.Es wird eine geschätzte Zeit von mehr als 10 Jahren bis zur Bruteforce dauern (sogar mit einem der schnellsten PCs, die Sie sich heute leisten können). - Sopalajo de Arrierez


Keines der Dinge, die du erwähnt hast (abgesehen vom Netzwerkpasswort), beeinflusst wirklich das Hacking eines WLAN-Netzwerks. So wie ein MAC-Adressfilter und versteckte SSID nichts wirklich helfen in Bezug auf die Sicherheit.

Was wirklich zählt, ist der Verschlüsselungstyp, der im Netzwerk verwendet wird. Ältere Netzwerkverschlüsselungen wie WEP waren trivial, weil sie bei ausreichendem Datenverkehr entschlüsselt werden konnten, und Sie konnten sie zwingen, den benötigten Datenverkehr zu generieren.

Neuere wie WPA2 sind jedoch viel sicherer. Jetzt ist nichts "sicher" gegen alle Gegner, aber das ist normalerweise genug für Heim-WLAN.

Es ist ein großes Thema, und das berührt nur die Spitze des Eisbergs, aber hoffentlich hilft es.


7
2018-03-24 23:05





WEP und WPA1 / 2 (mit WPS aktiviert) können trivial gehackt werden; Ersterer mit eingefangenen IVs und Letzterer mit WPS PIN Bruteforce (nur 11.000 mögliche Combos, von einem 3-teiligen Pin; 4 Ziffern [10.000 möglich] + 3 Ziffern [1.000 möglich] + 1-stellige Prüfsumme [berechnet aus dem Rest]) .

WPA1 / 2 sind härter mit einem starken Passwort, aber mit GPU-Cracking und einer Brute-Force-Technik können einige der Schwächeren versagen.

Ich habe persönlich WEP und WPS in meinem Arbeitsnetzwerk geknackt (mit Erlaubnis, ich habe die Schwachstellen meinen Arbeitgebern gezeigt), aber ich muss WPA erfolgreich knacken.


6
2018-03-26 01:03





Dies ist eine gute Frage und die Richtlinien für eine sehr sichere drahtlose sollte gut bekannt sein. Konfigurieren Sie Ihren Router / Gateway / AP so, dass:

  • Wireless-Sicherheit ist nur WPA2
  • Verschlüsselung ist nur AES
  • Verwenden Sie einen vorinstallierten Schlüssel, der mehrere Wörter enthält (z. B. IloveSuperUser)
  • Deaktivieren Sie WPS
  • Deaktivieren Sie die Remoteverwaltung

Das ist es! Für alle praktischen Zwecke haben Sie jetzt völlig sichere WLAN.


5
2018-03-26 21:26



@Jason Eine Frage sofort; Was hast du gegen Räume? - deworde
@ryyker habe ich für praktische Zwecke gesagt. - Jason
@deworde tue ich nicht, aber einige günstige Router und Verbindungsmanager machen das. - Jason


Drüben in der Cisco Lernnetzwerk Forum, fragte ein Thread-Starter:

Kann WPA / TKIP geknackt werden? Entweder hat jemand in meiner Pension 80 Gigs Daten verbraucht oder jemand in der Nähe hat das Passwort geknackt und es benutzt. Ich vermute, jemand in der Pension, weil ich es kaum glauben kann WPA / TKIP kann geknackt werden und auch wenn es geknackt werden kann, wäre es nicht einfach zu tun. Wie schwierig ist es überhaupt, WPA / TKIP zu knacken? Ich möchte das Passwort für sie trotzdem ändern, kann ich - und _ und? Figuren?

Ein offensichtlich sehr kluger Kerl namens "Zach" gemacht dieser Beitrag was der Thread-Starter, hier (und andere, auch hier, wenn sie interessiert sind), sollte lesen.

Lesen Sie insbesondere von etwa zwei Dritteln des Weges nach seinem Posting, wo er mit den Worten "The solutions:" beginnt.

Ich benutze mein Gateway "WPA-PSK (TKIP) / WPA2-PSK (AES)"Einstellung. In Übereinstimmung mit dieser von Zachs Beitrag ...

Ändern Sie den Namen Ihres Routers in etwas Einzigartiges. Ihre ESSID wird von Ihrem wlan Supplikanten als kryptographisches Salz über den PMK verwendet. Wenn Sie dies ändern, werden Angriffe vor der Berechnung vermieden.

... Ich habe schon lange meine eigene ESSID verwendet. Im Einklang mit seinem ...

Erstellen Sie ein einzigartiges Passwort mit eindeutigen Zeichen, Zahlen und Großbuchstaben. mehrere Wörter und Kleinbuchstaben. Dies ist wichtiger als die Länge. Wenn Sie die Länge des Passworts erhöhen, wird nur die Stärke des Passworts erhöht, aber es muss nicht obszön sein   lange. Stärke liegt in Varianz des Potentials. Dies wird Wörterbuchangriffe eliminieren und Brute-Force ohne einen Supercomputer unmöglich machen.

... meins sind 25 Zeichen, die aus Buchstaben, Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehen. Kein Teil davon buchstabiert irgendetwas.

Ich mache mehrere andere Dinge, die Zach tut und nicht dort aufzählt; aber zusätzlich zu den oben genannten, und sagte andere Dinge, und in zumindest dem Geist dessen, was er hier schrieb ...

Aktivieren Sie die detaillierte Protokollierung und leiten Sie sie gegebenenfalls an Ihre E-Mail-Adresse weiter.

... Ich habe vor langer Zeit ein bisschen Skriptcode geschrieben, der beim Start von Windows automatisch startet und nur in der Taskleiste läuft; welcher Code regelmäßig den ganzen Tag lang aktualisiert wird und dann die Webseite in meinem Gateway analysiert, die alle verbundenen Geräte auflistet; und es sagt mir dann beide als ein Pop-up-mit-drei-Piep-durch-das-Motherboard-Lautsprecher (nicht die regulären Lautsprecher, nur für den Fall, dass sie stumm oder etwas sind) auf meinem Desktop-Ersatz-Laptop-Computer Bildschirm, und auch per SMS an mein Telefon (das ist entweder in einem Beutel an meinem Gürtel, oder mindestens nie mehr als fünf Fuß von mir, 24/7/365), wenn etwas Neues aufgetaucht ist.

Für diejenigen, die nicht über diese Fähigkeit verfügen, gibt es einige "Who is on my WI-FI" -Apps, einige davon kostenlos. Ein guter und einfacher ist [dieser Badboy] [3]. Starten Sie es einfach mit Windows, lassen Sie es in der Taskleiste liegen, und sagen Sie ihm "Piep auf neuem Gerät", und Sie werden etwas Ähnliches haben wie das Skript (außer dass es Ihnen keine SMS schickt). Mit [einem einfachen Scripting-Tool] [5] können Sie jedoch eine SMS oder E-Mail an Ihr Telefon senden, wenn ein neues Gerät im LAN die App piepst.

Ich hoffe, das hilft.


3
2018-03-29 20:53



Der letzte Absatz Ihrer Antwort scheint zwei Links zu fehlen. - Twisty Impersonator


Eine weitere Überlegung bei einer Sicherheitsanalyse sind die zu schützenden Assets und der Wert dieser Assets für den Eigentümer und einen potenziellen Angreifer. Ich vermute, dass Ihr Banking-Login, Ihre Kreditkartennummer und andere Anmeldedaten wahrscheinlich die wertvollsten Informationen sind, die über ein Heimnetzwerk übertragen werden, und das meiste sollte durch TLS / SSL-Verschlüsselung über eine HTTPS-Verbindung abgedeckt werden. So scheint es, als ob Sie einen WPA2-Schlüssel auf Ihrem WLAN-Router verwenden und sicherstellen, dass Ihr Browser https verwendet, wann immer es möglich ist (mit einem Tool wie https überall), Sie sind ziemlich sicher. (Ein potenzieller Angreifer müsste sich die Mühe machen, seinen WPA2 - Schlüssel zu knacken könnte sein Erhalten Sie ein Passwort, das nicht über https oder die von Ihnen besuchten http-Seiten geht.)


2
2018-03-28 17:22





Zweifelhaft.

Ich stimme der Antwort von davidgo nicht zu. Obwohl es gut recherchiert ist und ich den meisten seiner Informationen zustimme, denke ich, dass es ein wenig pessimistisch ist.

Es gibt Sicherheitslücken in WPA2, die bereits in den anderen Antworten behandelt werden. Keine davon ist jedoch unvermeidbar.

Insbesondere ist anzumerken, dass der von davidgo erwähnte Brute-Force-Angriff ein Angriff auf eine Schwäche von MS-CHAPv2 ist. Siehe das Zitat des zitierten Autors [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Wenn Ms-CHAP nicht verwendet wird, kann diese Schwäche nicht ausgenutzt werden. (gelöscht aufgrund des Kommentars vom Autor - falsche Referenz)

Mit dem richtigen Passwort, SSID und der Vermeidung kompromittierter Technologie, sehe ich keinen Grund, warum ein mit WPA2 gesichertes Netzwerk mit AES256 im Moment nicht sicher wäre. Brute-Force-Angriffe auf solche Netzwerke sind nicht machbar, und selbst Moxy Marlinspike schlägt dies vor.

Allerdings stimme ich davidgo zu, dass die meisten Nutzer diese Anstrengungen nicht unternehmen. Ich weiß, dass mein eigenes Heimnetzwerk ausgenutzt werden kann, und obwohl ich weiß, wie man es repariert, ist es einfach nicht meine Zeit und Mühe wert.


2
2018-03-29 21:54



MS-CHAP ist etwas anderes (Es wird auf PPTP verwendet, dh VPN-Verbindungen und nicht drahtlose Verbindungen, es sei denn, Sie führen PPTP über Wifi aus, was weitgehend sinnlos ist. MS-CHAP ist bekanntlich völlig kaputt). Was ich mit Cloudcracker meinte, ist etwas anderes. Sie bereiten eine Probe des Netzwerkverkehrs vor und senden diese, und der Dienst versucht, sie zu erzwingen. Unter anderem versucht es WPA- und WPA2-Passwörter zu knacken. Der Link ist cloudcracker.com (nichts danach). Ich stimme dem zu, dass WPA2 mit einem starken Passwort wahrscheinlich nicht praktikabel für Bruteforce ist. - davidgo