nl.phhsnews.com


nl.phhsnews.com / Waarschuwing: gecodeerde WPA2-wifi-netwerken zijn nog steeds kwetsbaar voor snooping

Waarschuwing: gecodeerde WPA2-wifi-netwerken zijn nog steeds kwetsbaar voor snooping


De meeste mensen weten inmiddels dat een open wifi-netwerk mensen in staat stelt uw verkeer af te luisteren. Standaard-WPA2-PSK-codering zou dit moeten voorkomen, maar het is niet zo onfeilbaar als je zou denken.

Dit is geen enorm nieuws over een nieuw beveiligingslek. Integendeel, dit is de manier waarop WPA2-PSK altijd is geïmplementeerd. Maar het is iets wat de meeste mensen niet weten.

Open Wi-Fi-netwerken versus versleutelde wifi-netwerken

GERELATEERD: Waarom een ​​openbaar Wi-Fi-netwerk gebruiken gevaarlijk kan zijn, zelfs bij toegang tot gecodeerde websites

Thuis mag u geen open wifi-netwerk gebruiken, maar mogelijk gebruikt u er een in het openbaar, bijvoorbeeld in een koffiewinkel, terwijl u door een luchthaven of in een hotel rijdt. Open Wi-Fi-netwerken hebben geen codering, wat betekent dat alles dat via de ether wordt verzonden "in het niets" is. Mensen kunnen uw browse-activiteit controleren en elke webactiviteit die niet is beveiligd met codering zelf, kan worden bespied. Ja, dit is zelfs waar als u zich moet aanmelden met een gebruikersnaam en wachtwoord op een webpagina nadat u zich hebt aangemeld bij het open wifi-netwerk.

Codering - zoals de WPA2-PSK-codering die we u aanraden te gebruiken bij home - lost dit enigszins op. Iemand in de buurt kan niet zomaar uw verkeer vastleggen en op u snuffelen. Ze krijgen een hoop gecodeerd verkeer. Dit betekent dat een gecodeerd wifi-netwerk je privéverkeer beschermt tegen onopletten.

Dit is een beetje waar - maar er is hier een grote zwakte.

WPA2-PSK gebruikt een gedeelde sleutel

GERELATEERD: Heb geen vals gevoel van beveiliging: 5 Onzekere manieren om uw Wi-Fi te beveiligen

Het probleem met WPA2-PSK is dat het een "Pre-Shared Key" gebruikt. Deze sleutel is het wachtwoord of de wachtwoordzin , moet u invoeren om verbinding te maken met het Wi-Fi-netwerk. Iedereen die verbinding maakt, gebruikt dezelfde wachtwoordzin.

Het is vrij eenvoudig voor iemand om dit gecodeerde verkeer te controleren. Het enige wat ze nodig hebben is:

  • De wachtwoordzin : iedereen met toestemming om verbinding te maken met het wifi-netwerk heeft dit.
  • Het koppelingsverkeer voor een nieuwe client : als iemand de verzonden pakketten vastlegt tussen de router en een apparaat wanneer deze verbinding maakt, hebben ze alles wat ze nodig hebben om het verkeer te decoderen (ervan uitgaande dat ze natuurlijk ook de wachtwoordzin hebben). Het is ook triviaal om dit verkeer te krijgen via "deauth" -aanvallen die een apparaat met geweld van een Wi-Fi-netwerk ontkoppelen en hem dwingen om opnieuw verbinding te maken, waardoor het associatieproces opnieuw kan plaatsvinden. We kunnen niet genoeg benadrukken hoe eenvoudig dit is. Wireshark heeft een ingebouwde optie voor het automatisch decoderen van WPA2-PSK-verkeer zolang u de vooraf gedeelde sleutel hebt en het verkeer voor het associatieproces hebt vastgelegd.

Wat dit eigenlijk betekent

GERELATEERD:

Uw WPA2-versleuteling van Wi-Fi kan offline worden gekraakt: hier is hoe Wat dit eigenlijk betekent, is dat WPA2-PSK niet veel veiliger is tegen afluisteren als u iedereen op het netwerk niet vertrouwt. Thuis moet je veilig zijn omdat je wifi-wachtwoordzin geheim is.

Als je echter naar een coffeeshop gaat en WPA2-PSK gebruikt in plaats van een open Wi-Fi-netwerk, kun je je veel meer voelen veilig in uw privacy. Maar dat zou u niet moeten doen - iedereen met het wifi-wachtwoord van de coffeeshop zou uw browseverkeer kunnen controleren. Andere mensen op het netwerk, of alleen andere mensen met de wachtwoordzin, kunnen op uw verkeer snuffelen als ze dat willen.

Houd hier rekening mee. WPA2-PSK voorkomt dat mensen zonder toegang tot het netwerk kunnen rondsnuffelen. Zodra ze echter de wachtwoordzin van het netwerk hebben, zijn alle weddenschappen uitgeschakeld.

Waarom probeert WPA2-PSK dit niet te stoppen?

WPA2-PSK probeert dit zelfs te stoppen door het gebruik van een "paarsgewijze overgangssleutel" "(PTK). Elke draadloze client heeft een unieke PTK. Dit helpt echter niet veel, omdat de unieke sleutel per klant altijd wordt afgeleid van de vooraf gedeelde sleutel (de wifi-wachtwoordzin). Daarom is het triviaal om de unieke sleutel van een klant vast te leggen zolang u de Wi-Fi-wachtwoordzin hebt. Fi-wachtwoordzin en kan het verkeer vastleggen dat via het koppelingsproces wordt verzonden.

WPA2-Enterprise lost dit op ... voor grote netwerken

Voor grote organisaties die beveiligde wifi-netwerken vereisen, kan deze beveiligingszwakte worden voorkomen door het gebruik van EAP-autorisatie met een RADIUS-server - ook wel WPA2-Enterprise genoemd. Met dit systeem ontvangt elke Wi-Fi-client een echt unieke sleutel. Geen enkele Wi-Fi-client heeft voldoende informatie om gewoon te gaan snuffelen op een andere client, dus dit biedt veel meer beveiliging. Grote bedrijfskantoren of overheidsinstanties zouden daarom WPA2-Enteprise moeten gebruiken.

Maar dit is te gecompliceerd en complex voor de overgrote meerderheid van de mensen, of zelfs de meeste nerds, om thuis te gebruiken. In plaats van een wachtwoordzin voor Wi-Fi die u moet invoeren op apparaten die u wilt verbinden, moet u een RADIUS-server beheren die de verificatie en het sleutelbeheer afhandelt. Dit is veel gecompliceerder voor thuisgebruikers om in te stellen.

Het is zelfs de moeite niet waard als je iedereen op je wifi-netwerk vertrouwt, of iedereen met toegang tot je wifi-wachtwoordzin. Dit is alleen nodig als je bent verbonden met een WPA2-PSK gecodeerd wifi-netwerk op een openbare locatie - coffeeshop, luchthaven, hotel of zelfs een groter kantoor - waar andere mensen die je niet vertrouwt ook de Wi-Fi hebben Het wachtwoord van het FI-netwerk.

Dus, valt de lucht? Nee natuurlijk niet. Houd hier echter rekening mee: wanneer u bent verbonden met een WPA2-PSK-netwerk, kunnen andere mensen met toegang tot dat netwerk gemakkelijk uw verkeer opzoeken. Ondanks wat de meeste mensen denken, biedt die codering geen bescherming tegen andere mensen met toegang tot het netwerk.


Als u toegang moet hebben tot gevoelige sites op een openbaar Wi-Fi-netwerk - met name websites die geen HTTPS-codering gebruiken - overweegt u te doen dus via een VPN of zelfs een SSH-tunnel. De WPA2-PSK-codering op openbare netwerken is niet goed genoeg.

Image Credit: Cory Doctorow op Flickr, Food Group op Flickr, Robert Couse-Baker op Flickr


Hoe verander je snel het eerste woord in een bascommando?

Hoe verander je snel het eerste woord in een bascommando?

Als je workflow veel repetitieve handelingen bevat, dan is het nooit erg om naar manieren te zoeken om je workflow te verbeteren en te stroomlijnen . De SuperUser Q & A-post van vandaag biedt enkele nuttige suggesties voor een lezer die zijn werkstroom wil verbeteren. De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-driven groep van Q & A-websites.

(how-to)

Hoe u uw Mac op elke VPN (en automatisch opnieuw verbinden)

Hoe u uw Mac op elke VPN (en automatisch opnieuw verbinden)

Mac OS X heeft ingebouwde ondersteuning voor het verbinden met de meest voorkomende typen VPN's. Als u ervoor wilt zorgen dat uw Mac automatisch opnieuw wordt verbonden met uw VPN of verbinding maakt met een OpenVPN VPN, hebt u een app van derden nodig. Dit proces is vergelijkbaar, of u nu Windows, Android, iOS of een ander besturingssysteem gebruikt systeem.

(how-to)