Új Wi-Fi-t állít be? A szükséges jelszó típusának kiválasztása tetszőleges választásnak tűnhet. Végül is a WEP, a WPA, a WPA2 és a WPA3 többnyire ugyanazokat a betűket tartalmazza.
A jelszó jelszó, akkor mi a különbség? Mint kiderül, körülbelül 60 másodperctől milliárd évig.
Az összes Wi-Fi titkosítás nem egyenlő. Fedezzük fel, mi különbözteti meg ennyire ezt a négy rövidítést, és hogyan védheti meg legjobban otthona és szervezete Wi-Fi-jét.
Vezetékes egyenértékű adatvédelem (WEP)
Kezdetben volt WEP.
A Wired Equivalent Privacy egy 1997-től elavult biztonsági algoritmus, amelynek célja a vezetékes kapcsolattal egyenértékű biztonságot nyújtani. Az „elavult” azt jelenti: „Ne tegyük ezt tovább.”
Még az első bevezetéskor is ismert volt, hogy nem olyan erős, mint lehetett volna, két okból:
- - a mögöttes titkosítási mechanizmus, és
- Második világháború.
A második világháború alatt a kódtörés (vagy a kriptanalízis) hatása hatalmas volt. A kormányok úgy reagáltak, hogy megkísérelték otthon tartani legjobb titkos szósz receptjeiket.
A WEP időpontja körül az Egyesült Államok kormányának a kriptográfiai technológia exportjára vonatkozó korlátozásai miatt a hozzáférési pontok gyártói eszközeiket 64 bites titkosításra korlátozták. Bár ezt később 128 bitesre emelték, még ez a titkosítási forma is nagyon korlátozott lehetséges kulcsméretet kínált.
Ez problémásnak bizonyult a WEP számára. A kicsi kulcsméret azt eredményezte, hogy könnyebb erőszakkal kényszeríteni, különösen, ha ez a kulcs nem gyakran változik.
A WEP alapjául szolgáló titkosítási mechanizmus az RC4 adatfolyam titkosítás. Ez a rejtjel gyorsasága és egyszerűsége miatt népszerűségre tett szert, de ennek költsége volt.
Ez nem a legerősebb algoritmus. A WEP egyetlen megosztott kulcsot használ a felhasználók között, amelyet manuálisan kell megadni egy hozzáférési pont eszközön. (Mikor változtatta meg utoljára a Wi-Fi jelszavát? Ugye.)
A WEP sem segített abban, hogy egyszerűen összefűzte a kulcsot az inicializáló vektorral - vagyis mintegy összezúzta a titkos szósz bitjeit, és a legjobbat remélte.
Inicializáló vektor (IV): rögzített méretű bemenet egy alacsony szintű kriptográfiai algoritmushoz, általában véletlenszerű.
Az RC4 használatával együtt ez a WEP-t különösen fogékonyá tette a kapcsolódó kulcsok támadására. 128 bites WEP esetén a Wi-Fi jelszavát a nyilvánosan elérhető eszközök körülbelül 60 másodperc és három perc alatt feltörhetik.
Míg egyes eszközök 152 vagy 256 bites WEP változatokat kínáltak, ez nem oldotta meg a WEP alapjául szolgáló titkosítási mechanizmus alapvető problémáit.
Szóval igen. Ne tegyük ezt tovább.
Wi-Fi védett hozzáférés (WPA)
Egy új, ideiglenes szabvány a WEP biztonságának (hiányának) problémáját próbálta ideiglenesen „foltozni”. A Wi-Fi Protected Access (WPA) név minden bizonnyal biztosabban hangzik , így ez jó kezdet. A WPA azonban először egy másik, leíróbb névvel kezdte.
A 2004-es IEEE szabványban megerősített Temporal Key Integrity Protocol (TKIP) dinamikusan generált, csomagonkénti kulcsot használ. Minden elküldött csomagnak egyedi ideiglenes 128 bites kulcsa van (See? Descriptive!), Amely megoldja a WEP megosztott kulcscsomósítása által kiváltott kulcsfontosságú támadások fogékonyságát.
A TKIP más intézkedéseket is végrehajt, például egy üzenet hitelesítési kódot (MAC). Néha ellenőrző összegként ismert MAC kriptográfiai módot biztosít annak ellenőrzésére, hogy az üzenetek nem változtak-e.
A TKIP-ben egy érvénytelen MAC is kiválthatja a munkamenetkulcs újbóli megadását. Ha a hozzáférési pont egy percen belül kétszer érvénytelen MAC-t kap, a betolakodás megkísérelhető a támadó által feltörni kívánt kulcs megváltoztatásával.
Sajnos annak érdekében, hogy megőrizzék a WPA által javítani kívánt meglévő hardverrel való kompatibilitást, a TKIP megtartotta ugyanazon titkosítási mechanizmus használatát, mint a WEP - az RC4 adatfolyam-titkosítást.
Noha bizonyosan javult a WEP gyengeségein, a TKIP végül kiszolgáltatottnak bizonyult az új támadásokkal szemben, amelyek kiterjesztették a WEP elleni korábbi támadásokat.
Ezeknek a támadásoknak az elvégzése egy kicsit hosszabb ideig tart: például az egyik esetében tizenkét perc, a másikban 52 óra. Ez azonban több mint elegendő ahhoz, hogy a TKIP már nem biztonságos legyen.
A WPA vagy a TKIP azóta is megszűnt. Tehát ne is tegyük ezt tovább.
Amivel eljuthatunk ...
Wi-Fi Protected Access II (WPA2)
Ahelyett, hogy teljesen új névre törekedne, a továbbfejlesztett Wi-Fi Protected Access II (WPA2) szabvány inkább egy új mögöttes titkosítás használatára összpontosít.
Az RC4 adatfolyam-titkosítás helyett a WPA2 az Advanced Encryption Standard (AES) nevű blokkos titkosítást alkalmazza titkosítási protokolljának alapjául.
Maga a protokoll, rövidítve CCMP, biztonságának nagy részét meglehetősen hosszú nevének hosszúságából meríti (viccelek): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, amely rövidít Counter Mode CBC-MAC Protocol vagy CCM módba Protokoll vagy CCMP. ?
A CCM mód lényegében néhány jó ötlet kombinációja. CTR vagy számláló módban biztosítja az adatok bizalmas kezelését. A túlzott egyszerűsítés érdekében ez bonyolultabbá teszi a sima szöveges adatokat azáltal, hogy titkosítja a nem ismétlődő számlálási szekvencia egymást követő értékeit.
A CCM integrálja a CBC-MAC-ot is, egy blokkos titkosítási módszert a MAC felépítéséhez.
Az AES maga jó alapokon áll. Az AES specifikációt 2001-ben az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) hozta létre. Ötéves versenyeztetési kiválasztási eljárás után döntöttek, amelynek során tizenöt javaslatot értékeltek az algoritmustervekre.
Ennek a folyamatnak a eredményeként kiválasztották a Rijndael (holland) nevű rejtjelező családot, és ezek egy részhalmaza AES lett.
Két évtized nagyobb részében az AES-t használták a mindennapi internetes forgalom, valamint az Egyesült Államok kormányának bizonyos szintű minősített információk védelmére.
Noha leírták az AES elleni lehetséges támadásokat, a valóságban még egyik sem bizonyult praktikusnak. A közvéleményben az AES elleni leggyorsabb támadás egy kulcs-helyreállítási támadás, amely körülbelül négyszeresével javította a nyers erőszakkal történő AES-t. Mennyi ideig tartana? Néhány milliárd év.
Wi-Fi Protected Access III (WPA3)
A WPA-trilógia következő részletére 2020. július 1-je óta van szükség az új eszközök számára. A WPA2-szabvány várhatóan tovább javítja a WPA2 biztonságát, és igyekszik javítani a jelszó biztonságát azáltal, hogy jobban ellenáll a szavak listájának vagy szótárának támadásainak.
Az elődöktől eltérően a WPA3 előretekintést is kínál. Ez jelentős előnnyel jár a korábban kicserélt információk védelmében, még akkor is, ha a hosszú távú titkos kulcs veszélybe kerül.
A továbbítási titoktartást már olyan protokollok biztosítják, mint a TLS, aszimmetrikus kulcsok használatával a megosztott kulcsok létrehozásához. Ebben a bejegyzésben többet megtudhat a TLS-ről.
Mivel a WPA2 még nem volt elavult, ezért a WPA2 és a WPA3 továbbra is a legfontosabb választás a Wi-Fi biztonság szempontjából.
Ha a többi nem jó, miért vannak még mindig a közelben?
Kíváncsi lehet, hogy a hozzáférési pont miért engedi meg, hogy a WPA2 vagy WPA3 helyett más lehetőséget is válasszon. Ennek valószínű oka az, hogy régi hardvert használ, amit a technikusok az anyja útválasztójának hívnak.
Mivel a WEP és a WPA elavulása meglehetősen nemrég történt, nagy szervezetekben és a szülő házában is megtalálható olyan régebbi hardver, amely még mindig használja ezeket a protokollokat. Még az újabb hardvereknek is üzleti igényük lehet a régebbi protokollok támogatására.
Bár képes vagyok meggyőzni, hogy fektessen be egy fényes új csúcskategóriás Wi-Fi készülékbe, a legtöbb szervezet más történet. Sajnos sokan még csak nem ismerik azt a fontos szerepet, amelyet a kiberbiztonság játszik az ügyfelek igényeinek kielégítésében és ennek az alsó sornak a növelésében.
Ezenkívül az újabb protokollokra való átállás új belső hardver vagy firmware frissítést igényelhet. Különösen a nagy szervezetek összetett rendszereinél az eszközök frissítése pénzügyileg vagy stratégiailag nehéz lehet.
Növelje a Wi-Fi biztonságát
Ha ez opció, válassza a WPA2 vagy a WPA3 lehetőséget. A kiberbiztonság egy olyan terület, amely napról napra fejlődik, és a múlt elakadása súlyos következményekkel járhat.
Ha nem tudja használni a WPA2 vagy a WPA3 szoftvert, akkor tegyen meg mindent a lehető legjobb biztonsági intézkedések meghozatalához.
A legjobb durranás a virtuális magánhálózat (VPN) használata. A VPN használata jó ötlet, függetlenül attól, hogy milyen típusú Wi-Fi titkosítás van. Nyitott Wi-Fi-n (kávézók) és a WEP használatakor egyszerű felelőtlenség VPN nélkül menni.
Ez olyan, mintha a második kapucsínó megrendelésekor kiabálná a banki adatait.
Válasszon egy VPN-szolgáltatót, amely olyan funkciót kínál, mint egy kill kapcsoló, amely blokkolja a hálózati forgalmat, ha a VPN-je megszakad. Ez megakadályozza, hogy véletlenül továbbítson információkat egy nem biztonságos kapcsolaton, például nyitott Wi-Fi-n vagy WEP-en. Ebben a bejegyzésben többet írtam a VPN kiválasztásának első három szempontjáról.
Ha lehetséges, győződjön meg arról, hogy csak olyan ismert hálózatokhoz csatlakozik, amelyeket Ön vagy szervezete irányít.
Sok kiberbiztonsági támadást hajtanak végre, amikor az áldozatok nyilvános Wi-Fi hozzáférési pont utánzathoz csatlakoznak, amelyet gonosz ikertámadásnak vagy Wi-Fi adathalászatnak is neveznek.
Ezek a hamis hotspotok könnyen létrehozhatók nyilvánosan elérhető programok és eszközök segítségével. A VPN segíthet a támadások okozta károk enyhítésében is, de mindig jobb, ha nem vállalja a kockázatot.
Ha gyakran utazik, fontolja meg egy hordozható hotspot megvásárlását, amely mobil adatcsomagot használ, vagy az adat-SIM-kártyákat használja minden eszközéhez.
Sokkal több, mint puszta betűszavak
A WEP, a WPA, a WPA2 és a WPA3 sokkal többet jelent, mint egy csomó hasonló levél - egyes esetekben ez évmilliárdok és 60 másodperc közötti különbség.
Remélem, hogy a mostanában elterjedtebb időintervallumban valami újat tanítottam a Wi-Fi biztonságáról és arról, hogyan javíthatja azt!
Ha tetszett volna ez a bejegyzés, szívesen megtudnám. Csatlakozzon az emberek ezreihez, akik velem együtt tanulnak a victoria.dev oldalon! Látogasson el vagy iratkozzon fel RSS-n keresztül további programozáshoz, kiberbiztonsághoz és rajzfilm-poén viccekhez.