it-swarm-eu.dev

Länge für Wi-FI PSK empfehlen?

Ich habe derzeit ein Netzwerk mit WPA2- und AES-Verschlüsselung eingerichtet. Das Passwort ist 8 Zeichen lang, wurde jedoch zufällig generiert und enthält keine Wörterbuchwörter. Ich bin jedoch besorgt über die zunehmende Leistung von Computern und ihre Fähigkeit, Handshakes zu knacken. Daher habe ich überlegt, die Länge zu erhöhen.

Ich bin mir bewusst, dass ich bis zu 63 Zeichen schreiben kann, wenn ich extrem paranoid bin, aber leider muss ich dieses Passwort in Android Telefone und andere Geräte) eingeben, damit ich es lieber einigermaßen kurz halte damit es leicht getippt werden kann.

Würde ein zufälliges Passwort mit 16 Zeichen ausreichen, um ein WPA2-verschlüsseltes Netzwerk zu sichern? Was ist die aktuelle Empfehlung für Kennwortlängen, insbesondere für drahtlose Netzwerke, und welche Kennwortlänge würde ausreichen, um mein Netzwerk vor einem Standardangriff zu schützen?

27
Concrete Donkey

Ja, 16 Zeichen sind mehr als ausreichend , wenn sie zufällig mit einem PRNG mit kryptografischer Stärke generiert werden. Wenn Sie Kleinbuchstaben, Großbuchstaben und Ziffern verwenden und diese wirklich zufällig generieren, enthält ein 16-stelliges Kennwort 95 Entropiebits. Das ist mehr als ausreichend. Tatsächlich sind 12 Zeichen ausreichend ; Das gibt Ihnen 71 Bit Entropie, was auch mehr als ausreichend für die Sicherheit gegen alle Angriffe ist, die Angreifer versuchen könnten, Ihr Passwort anzugreifen.

Sobald Ihr Passwort 12 Zeichen oder länger ist, ist es äußerst unwahrscheinlich, dass das Passwort das schwächste Glied in Ihrem System ist. Daher macht es nicht viel Sinn, ein längeres Passwort zu wählen. Ich sehe Leute, die die Verwendung eines 60-stelligen Passworts empfehlen, aber ich glaube nicht, dass es dafür eine vernünftige Grundlage gibt. Meiner Ansicht nach ist die Benutzerfreundlichkeit sehr wichtig: Wenn Sie den Sicherheitsmechanismus zu schwierig machen, werden die Leute verärgert sein und ihn möglicherweise in Zukunft weniger verwenden, was nicht gut ist. Ein sicherer Mechanismus, der nicht verwendet wird, nützt niemandem etwas. Aus diesem Grund bevorzuge ich ein kürzeres Passwort mit 12 oder 16 Zeichen, da es vollkommen ausreichend und benutzerfreundlicher ist als ein monströses Tier mit 60 Zeichen.

Seien Sie vorsichtig, wie Sie das Passwort wählen. Sie müssen ein kryptografisch starkes PRNG wie /dev/urandom Verwenden. Hier ist zum Beispiel ein einfaches Skript, das ich unter Linux verwende:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Versuchen Sie nicht, Passwörter selbst auszuwählen. Vom Menschen gewählte Passwörter sind normalerweise leichter zu erraten als ein wirklich zufälliges Passwort.

Eine sehr wichtige Einschränkung: Es gibt auch andere Probleme, die über die Länge des Passworts hinausgehen. Es ist sehr wichtig, dass Sie WPS ausschalten, da WPS hat große Sicherheitslücken . Außerdem empfehle ich die Verwendung von WPA2. Vermeiden Sie WPA-TKIP und verwenden Sie niemals WEP.

24
D.W.

Diese Frage wurde schon oft gestellt. Ein 12-stelliges Passwort mit Zahlen, Zeichen, Klein- und Großbuchstaben benötigt sehr viel Zeit für die Bruteforce. Wenn Ihr Passwort in einem Wörterbuch nicht vorhanden ist, müssen Sie einen Bruteforce-Angriff ausführen. Wir können eine Schätzung der Anzahl der versuchten Passwörter vornehmen:

Wenn Sie 94 mögliche Zeichen (ASCII) haben und Ihr Passwort 12 Zeichen lang ist. Dann haben Sie:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Mit einer modernen GPU (das habe ich auf Toms Hardware gefunden):Toms Hardware

Sie können ungefähr 215 000 Vermutungen pro Sekunde erhalten. Wenn wir also nachsehen, wie lange es dauern wird:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia, um Ihr Passwort zu erraten (tatsächlich die Hälfte dieses Betrags statistisch).

11
Lucas Kauffman

Es gibt wirklich keine einheitliche Antwort darauf. Das kurze daran ist: Wenn Sie ein ausgewogenes Verhältnis von Sicherheit und Benutzerfreundlichkeit wünschen, das für Sie richtig ist, machen Sie das Passwort so lang und komplex, wie Sie es tolerieren können.

Für mich persönlich habe ich keine Bedenken, eine zufällig generierte PSK mit 63 Zeichen auf meinen Zugriffspunkten festzulegen. Ja, es kann schwierig sein, auf Smart-Geräte und dergleichen zuzugreifen. Aber das, woran ich mich immer wieder erinnere, ist, dass ich es nur eingeben muss einmal pro Gerät. Das Hinzufügen neuer Geräte zu meinem Netzwerk ist relativ selten und unbedeutend im Vergleich zu der Zeit, die ich tatsächlich im Netzwerk verwende, und der Sicherheitsverbesserung eines nahezu unzerbrechlichen Kennworts.

Wenn Sie nicht damit leben können, ein zufällig generiertes Kennwort mit 63 Zeichen einmal pro Gerät in Ihrem Netzwerk einzugeben, verkleinern Sie es, bis Sie zu etwas gelangen, das für Sie leichter verdaulich ist. Vielleicht finden Sie einen vernünftigen Weg, um ein langes, scheinbar zufälliges Passwort zu erstellen, das für Sie tatsächlich Sinn macht. Abhängig davon, wie weit Sie gehen möchten, um Ihr Netzwerk zu sichern, sollten Sie auch eingehende verteidigungsbezogene Ergänzungen wie MAC-Adressfilterung, Netzwerkpartitionierung (d. H. Firewall zwischen Wi-Fi und LAN) und VPN in Betracht ziehen.

In Bezug auf allgemeine Passwortempfehlungen (Wi-Fi und andere) ist hier mein Vorschlag:

  • Mindestens 15 Zeichen.
    • Viele ältere Standards sagen 8, die meisten neuen Standards sagen 12 und einige empfehlen sogar 20 oder mehr.
    • Ich sage mindestens 15, weil es ältere Windows-Versionen dazu zwingt, den unsicheren LANMAN-Hash nicht zu speichern.
  • Verwenden Sie alle 4 Zeichentypen.
    • Großbuchstaben
    • Kleinbuchstaben
    • Zahlen
    • Symbole
  • Vermeiden Sie es, tatsächliche Wörter oder einfache Variationen von Wörtern in Ihr Passwort aufzunehmen.
    • "Passwort"
    • "P @ $$ w0rd"
    • usw.
  • Schreiben Sie Ihre Passwörter nicht auf und speichern Sie sie nicht in Klartextdateien.
  • Geben Sie Ihre Passwörter nicht weiter und verwenden Sie hochempfindliche Passwörter nicht auf mehreren Websites.
2
Iszi

Ich habe unten ein kleines Skript in Perl für Sie geschrieben. Sie sollten es jedoch interpretieren und Ihre Antwort auch mit einem Taschenrechner erhalten können.

Denken Sie daran, dass die effektive Stärke viel schwächer ist, wenn sich Ihr Passwort in einem Wörterbuch befindet oder kurz genug ist, um Rainbow-Tabellen zu erstellen, die sonst berechnet würden. Benchmark PBKDF2, um festzustellen, wie schnell ein Passwort getestet werden kann (Lucas weist mit schwerer Grafikhardware auf 215.000 hin). Beachten Sie, dass Rainbow-Tabellen ein Faktor sind, wenn Sie einen gemeinsamen SSID-Namen ("linksys") haben, aber nicht, wenn Sie etwas viel Dunkleres haben.

#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
2
Jeff Ferland

Es gibt mindestens 2-3 Möglichkeiten, wie ich dies angehen würde.

WENN die Daten im Netzwerk durch irgendeine Art von Regelung (HIPAA, PCI usw.) geschützt sind, würde ich über Bord gehen und all dies tun. Ich bin mir sicher, dass es noch mehr gibt, aber das ist alles, woran ich denken kann.

  1. So viele Charaktere, wie Sie leiden können.
  2. Schalten Sie WPS aus, da der Reaver dies in etwa 10 Stunden knacken kann.
  3. Führen Sie drahtlose Umfragen für alle Ihre APs durch und verringern Sie die Energieeinstellungen, damit Sie kein Signal von außerhalb des Gebäudes erhalten. (Ich verwende den drahtlosen Analysator für Android auf meinem Telefon oder inSSIDER www.metageek.net/products/inssider/ für Ihren Laptop).
  4. Sperren Sie MAC-Adressen (obwohl sie gefälscht werden können, würde dies helfen, Skiddies abzuhalten)
  5. check out http://weaknetlabs.com Sie haben einige interessante Theorien zur zusätzlichen Sicherheit für WEP/WPA.
  6. Überprüfen Sie Ihren Netzwerkzugriff speziell auf Versuche, auf eine ACL zuzugreifen und diese zu verwenden, um nicht mehr als X Versuche für den Verbindungsversuch zuzulassen.
  7. senden Sie Ihre SSID nicht, da dies wiederum verhindert, dass Skriptkinder versuchen, auf Ihr Netzwerk zuzugreifen.

Was ist die Marke/das Modell Ihres Routers?

0
Brad

Obligatorisch xkcd Referenz.

Was wirklich zählt, ist, wie viel Entropie Ihr Passwort enthält. Das Problem ist "Entropie im Vergleich zu was"? Wenn sich Ihr Passwort im 100-Wörter-Wörterbuch des Angreifers befindet, weist es weniger als 8 Entropiebits auf, selbst wenn eine breite Mischung von Zeichentypen verwendet wird, z. Pa $$ w0rd. Die allgemeine Regel, die ich gehört habe, ist, dass Englisch ungefähr 3 Entropiebits pro Buchstabe hat. Wenn Sie also nichts Dummes tun, sollten Sie mit ciel (64/3) = 22 Buchstaben einverstanden sein.

Unabhängig davon reichen 8 Zeichen nicht aus, da D.W. erklärt.

0
Major Major