it-swarm-eu.dev

Doporučit délku pro Wi-FI PSK?

V současné době mám síť nastavenou pomocí šifrování WPA2 a AES, heslo je 8 znaků dlouhé, ale bylo vygenerováno náhodně a neobsahuje žádná slova ve slovníku. Mám však obavy z rostoucí síly počítačů a jejich schopnosti praskat potřesení rukou, jako takový jsem uvažoval o prodloužení délky.

Jsem si vědom toho, že pokud jsem byl extrémně paranoidní, mohu jít až o 63 znaků, ale bohužel musím toto heslo zadat do Android telefonů a dalších zařízení), takže bych si ho raději nechal přiměřeně krátký aby bylo možné jej snadno napsat.

Stačilo by šestnáctimístné náhodné heslo k zabezpečení šifrované sítě WPA2? Jaké je aktuální doporučení pro délky hesel, zejména pro bezdrátové sítě, a jaká délka hesla by byla dostatečná pro ochranu mé sítě před standardním útokem?

27
Concrete Donkey

Ano, 16 znaků je více než dostačujících , pokud jsou náhodně generovány pomocí PRNG kryptografické síly. Pokud používáte malá písmena, velká písmena a číslice, a pokud je generujete skutečně náhodně, pak 16 znakové heslo má 95 bitů entropie. To je víc než dostačující. Ve skutečnosti stačí 12 znaků ; to vám dává 71 bitů entropie, což je také více než dostatečné pro zabezpečení proti všem útokům, které by se útočníci mohli pokusit zaútočit na vaše heslo.

Jakmile je vaše heslo 12 znaků nebo delší, je velmi nepravděpodobné, že by bylo nejslabším odkazem ve vašem systému. Proto není příliš důležité volit delší heslo. Vidím lidi, kteří doporučují používat 60místné heslo, ale nemyslím si, že by pro to existoval nějaký racionální základ. Domnívám se, že použitelnost je velmi důležitá: pokud učiníte bezpečnostní mechanismus příliš těžkým na používání, lidé budou naštvaní a mohou se zdráhat používat je v budoucnu, což není dobré. Nepoužitý zabezpečený mechanismus nedělá nikomu nic dobrého. Proto raději volím kratší heslo, například 12 znaků nebo 16 znaků, protože je naprosto dostačující a použitelnější než monstrózní zvíře se 60 znaky.

Při výběru hesla buďte opatrní. Musíte použít kryptograficky silný PRNG, například /dev/urandom. Například zde je jednoduchý skript, který používám v systému Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Nezkoušejte si vybírat hesla sami. Hesla zvolená člověkem se obvykle snadněji uhodnou než skutečně náhodná hesla.

Jedna velmi důležitá výzva: Existují i ​​další problémy, nad rámec délky hesla. Je velmi důležité, abyste vypnuli WPS , protože WPS má hlavní bezpečnostní díry . Také doporučuji používat WPA2; Vyhněte se WPA-TKIP a nikdy nepoužívejte WEP.

24
D.W.

Tato otázka byla již mnohokrát položena, dvanáctimístné heslo s čísly, znaky, malými a velkými písmeny bude trvat velmi dlouhou dobu, než bude bruteforce. Pokud vaše heslo není ve slovníku, budete muset použít útok hrubou silou. Můžeme provést odhad počtu vyzkoušených hesel:

Pokud máte 94 možných znaků (ASCII) a vaše heslo je 12 znaků. Pak budete mít:

94^12 = 475 920 314 814 253 376 475 136 possibilities

S moderním GPU (našel jsem to na hardwaru Toma):Toms Hardware

Můžete získat asi 215 000 odhadů za sekundu. Pokud se podíváme, jak dlouho to bude trvat:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia uhádnout své heslo (ve skutečnosti polovinu této částky statisticky).

11
Lucas Kauffman

Opravdu na to neexistuje žádná univerzální odpověď. Stručně řečeno, toto: Pokud chcete správnou rovnováhu mezi bezpečností a použitelností, která je pro vás to pravé, vytvořte heslo tak dlouhé a složité, jak můžete tolerovat.

Pro mě osobně nemám žádné výhrady ohledně nastavení náhodně generovaného PSK s 63 znaky na mých přístupových bodech. Ano, může být obtížné vstoupit do inteligentních zařízení a podobně. Ale věc, kterou si neustále připomínám, je, že ji musím zadat pouze jednou na zařízení. Přidání nových zařízení do mé sítě je relativně vzácný a zanedbatelný výskyt, ve srovnání s množstvím času, kdy skutečně používám síť a vylepšení zabezpečení téměř nerozbitného hesla.

Pokud nemůžete žít s děrováním v náhodně vygenerovaném hesle 63 znaků jednou na zařízení v síti, zmenšete jej, dokud se nedostanete k něčemu snadněji stravitelnému pro sebe. Možná najdete rozumný způsob, jak si vytvořit dlouhé zdánlivě náhodné heslo, které vám skutečně dává smysl. V závislosti na tom, jak daleko chcete jít k zabezpečení vaší sítě, můžete také zvážit doplnění ochrany, jako je filtrování MAC adres, síťové rozdělení (tj .: firewall mezi Wi-Fi a LAN) a VPN.

Pokud jde o obecná doporučení týkající se hesel (Wi-Fi apod.), Navrhuji následující:

  • Minimálně 15 znaků.
    • Mnoho starších standardů říká 8, většina nových standardů 12 a některé dokonce doporučují 20 a více.
    • Říkám 15 jako minimum, protože to nutí starší verze Windows, aby neuchovávaly nezabezpečenou hash LANMAN.
  • Použijte všechny 4 typy znaků.
    • Velká písmena
    • Malá písmena
    • Čísla
    • Symboly
  • Vyhněte se zahrnutí skutečných slov nebo jednoduchých variací slov do vašeho hesla.
    • "Heslo"
    • "P @ $$ w0rd"
    • atd.
  • Nezapisujte svá hesla ani je neukládejte do souborů s čistým textem.
  • Sdílejte svá hesla a na více webech nepoužívejte hesla s vysokou citlivostí.
2
Iszi

Ve spodní části jsem pro vás napsal Perl skript. Měli byste však být schopni ji interpretovat a získat odpověď také pomocí kalkulačky.

Pamatujte, že pokud je vaše heslo ve slovníku nebo dostatečně krátké na to, aby se vytvořily tabulky Rainbow, efektivní síla je mnohem slabší, která by se jinak vypočítala. Benchmark PBKDF2 určuje, jak rychle lze heslo otestovat (Lucas poukáže na 215 000 pomocí těžkého grafického hardwaru). Uvědomte si, že tabulky Rainbow budou faktorem, pokud máte běžný název SSID („linksys“), ale nebude, pokud máte něco mnohem temnějšího.

#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
2
Jeff Ferland

Existují minimálně 2 až 3 způsoby, jak bych to řešit.

Pokud jsou data v síti chráněna nějakým typem regulace (HIPAA, PCI, atd.), Pak bych přejít přes palubu a udělat všechny z nich. Jsem si jistý, že jich je víc, ale to je vše, na co si pomyslím.

  1. Tolik postav, kolik můžete trpět.
  2. Vypněte WPS, protože reaver to může rozbít za přibližně 10 hodin.
  3. Proveďte bezdrátové průzkumy pro všechny vaše přístupové body a vypněte nastavení napájení, abyste nemohli získat signál z vnější strany budovy. (Používám bezdrátový analyzátor pro Android ve svém telefonu nebo inSSIDER www.metageek.net/products/inssider/ pro váš notebook)
  4. Uzamkněte MAC adresy (ačkoli mohou být spoofed, pomohlo by to odrazit skiddies)
  5. podívejte se http://weaknetlabs.com mají několik zajímavých teorií o další bezpečnosti pro WEP/WPA.
  6. Auditujte přístup k síti konkrétně při pohledu na pokusy o přístup a použití seznamu ACL, který neumožňuje více než X pokusů o pokus o připojení.
  7. nevysílejte SSID, znovu to zabrání pokusům o přístup k vaší síti.

Jaká je značka/model routeru?

0
Brad

Povinné xkcd reference.

Na tom opravdu záleží, kolik entropie obsahuje vaše heslo. Problém je „entropie ve srovnání s čím“? Pokud je vaše heslo ve slovníku 100 slov útočníka, pak má méně než 8 bitů entropie, i když používá širokou škálu typů znaků, např. Pa $$ w0rd. Obecným pravidlem, které jsem slyšel, je, že angličtina má asi 3 kousky entropie na dopis, takže pokud neděláte něco hloupého, měli byste být v pořádku s ciel (64/3) = 22 písmen.

Bez ohledu na to, 8 znaků nestačí, jako D.W. vysvětlil.

0
Major Major