it-swarm-eu.dev

Consiglia lunghezza per Wi-Fi PSK?

Al momento ho una rete configurata con crittografia WPA2 e AES, la password è lunga 8 caratteri ma è stata generata casualmente e non contiene parole del dizionario. Tuttavia, sono preoccupato per il crescente potere dei computer e per la loro capacità di rompere le strette di mano, in quanto tale stavo considerando di aumentare la lunghezza.

Sono consapevole di poter arrivare a 63 caratteri se fossi estremamente paranoico, ma sfortunatamente devo digitare questa password in Android e altri dispositivi, quindi preferirei mantenerla ragionevolmente breve per consentire una facile digitazione.

Una password casuale di 16 caratteri sarebbe sufficiente per proteggere una rete crittografata WPA2? Qual è l'attuale raccomandazione per le lunghezze delle password, in particolare per le reti wireless e quale lunghezza delle password sarebbe sufficiente per proteggere la mia rete da un attacco standard?

27
Concrete Donkey

Sì, 16 caratteri sono più che sufficienti , se sono generati casualmente usando un PRNG a forza crittografica. Se usi lettere minuscole, maiuscole e cifre e se la generi in modo veramente casuale, una password di 16 caratteri ha 95 bit di entropia. Questo è più che sufficiente. In realtà, 12 caratteri sono sufficienti ; che ti dà 71 bit di entropia, che è anche più che sufficiente per la sicurezza contro tutti gli attacchi che gli attaccanti potrebbero tentare di attaccare la tua password.

Una volta che la tua password è di 12 caratteri o più, è estremamente improbabile che sia il collegamento più debole nel tuo sistema. Pertanto, non ha molto senso scegliere una password più lunga. Vedo persone che raccomandano di usare una password di 60 caratteri, ma non credo che ci sia una base razionale per farlo. La mia opinione è che l'usabilità è molto importante: se rendi il meccanismo di sicurezza troppo difficile da usare, le persone si arrabbieranno e potrebbero essere più riluttanti a usarlo in futuro, il che non è buono. Un meccanismo sicuro che non viene utilizzato non fa bene a nessuno. Ecco perché preferisco scegliere una password più breve, come 12 caratteri o 16 caratteri di lunghezza, poiché è perfettamente adeguata e più utilizzabile di una mostruosa bestia di 60 caratteri.

Fai attenzione a come scegli la password. Devi usare un PRNG crittograficamente forte, come /dev/urandom. Ad esempio, ecco un semplice script che uso su Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Non provare a scegliere le password tu stesso. Le password scelte dall'uomo sono in genere più facili da indovinare di una password davvero casuale.

Un avvertimento molto importante: ci sono anche altri problemi, oltre la lunghezza della password. È molto importante che tu disabiliti WPS , in quanto WPS presenta importanti falle di sicurezza . Inoltre, ti consiglio di usare WPA2; evitare WPA-TKIP e non usare mai WEP.

24
D.W.

Questa domanda è stata posta molte volte in precedenza, una password di 12 caratteri con numeri, segni, lettere minuscole e maiuscole impiegherà molto tempo a diventare bruteforce. Se la tua password non è presente in un dizionario, dovrai usare un attacco bruteforce. Possiamo fare una stima sulla quantità di password provate:

Se hai 94 caratteri possibili (ASCII) e la tua password è lunga 12 caratteri. Quindi avrai:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Con una moderna GPU (l'ho trovato su Tom's Hardware):Toms Hardware

Puoi ottenere circa 215 000 ipotesi al secondo. Quindi, se cerchiamo quanto tempo ci vorrà:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia per indovinare la tua password (in realtà statisticamente la metà di tale importo).

11
Lucas Kauffman

Non c'è davvero una risposta unica per questo. In sostanza: se si desidera un corretto equilibrio tra sicurezza e usabilità che sia giusto per te, rendere la password più lunga e complessa che si può tollerare.

Personalmente, non ho scrupoli nell'impostare un PSK di 63 caratteri generato casualmente sui miei punti di accesso. Sì, potrebbe essere difficile entrare in dispositivi intelligenti e simili. Ma la cosa che continuo a ricordare a me stesso è che devo solo inserirla na volta per dispositivo. L'aggiunta di nuovi dispositivi alla mia rete è un evento relativamente raro e insignificante, rispetto alla quantità di tempo che uso effettivamente la rete e al miglioramento della sicurezza di una password quasi infrangibile.

Se non riesci a vivere con il punch in una password di 63 caratteri generata casualmente una volta per dispositivo sulla tua rete, ridimensionala fino a ottenere qualcosa di più facilmente digeribile per te stesso. Forse trova un modo ragionevole per creare una password lunga, apparentemente casuale, che abbia davvero senso per te. A seconda di quanto lontano vuoi andare per proteggere la tua rete, potresti anche prendere in considerazione aggiunte approfondite di difesa come il filtro degli indirizzi MAC, il partizionamento della rete (cioè: firewall tra Wi-Fi e LAN) e VPN.

Per quanto riguarda le raccomandazioni generali sulla password (Wi-Fi e altro), ecco il mio suggerimento:

  • Minimo 15 caratteri.
    • Molti standard più vecchi dicono 8, la maggior parte dei nuovi standard dice 12 e alcuni addirittura raccomandano 20 o più.
    • Dico 15 come minimo indispensabile, perché impone alle versioni precedenti di Windows di non memorizzare l'hash LANMAN non sicuro.
  • Usa tutti e 4 i tipi di caratteri.
    • Lettere maiuscole
    • Lettere minuscole
    • Numeri
    • Simboli
  • Evita di includere parole effettive o semplici varianti di parole nella tua password.
    • "parola d'ordine"
    • "P @ $$ w0rd"
    • eccetera.
  • Non scrivere le password o archiviarle in file in chiaro.
  • Non condividere le password e non riutilizzare password ad alta sensibilità su più siti.
2
Iszi

In fondo ho scritto una piccola sceneggiatura in Perl. Tuttavia, dovresti essere in grado di interpretarlo e ottenere la tua risposta anche con una calcolatrice.

Ricorda che se la tua password è in un dizionario o abbastanza breve da produrre tabelle Rainbow per questo la forza effettiva è molto più debole che altrimenti verrebbe calcolata. Benchmark PBKDF2 per determinare la velocità con cui è possibile testare una password (Lucas sottolinea 215.000 con hardware hardware pesante). Nota che le tabelle Rainbow saranno un fattore se hai un nome SSID comune ("linksys"), ma non lo saranno se hai qualcosa di molto più oscuro.

#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
2
Jeff Ferland

Ci sono almeno 2-3 modi per affrontare questo problema.

Se i dati nella rete sono protetti da un qualche tipo di regolamentazione (HIPAA, PCI, ecc.), Esagererei e farei tutto questo. Sono sicuro che c'è di più, ma è tutto ciò a cui riesco a pensare in cima alla mia mente.

  1. Tutti i personaggi con cui puoi soffrire.
  2. Disattiva WPS poiché Reaver può rompere questo in circa 10 ore.
  3. Esegui sondaggi wireless per tutti i tuoi AP e abbassa le impostazioni di alimentazione in modo da non poter ricevere il segnale dall'esterno dell'edificio. (Uso l'analizzatore wireless per Android sul mio telefono o inSSIDER www.metageek.net/products/inssider/ per il tuo laptop)
  4. Blocca gli indirizzi MAC (anche se possono essere falsificati, ciò contribuirebbe a scoraggiare i bambini)
  5. controlla http://weaknetlabs.com hanno alcune teorie interessanti sulla sicurezza aggiuntiva per WEP/WPA.
  6. Controlla l'accesso alla tua rete osservando specificamente i tentativi di accesso e usa un ACL per non consentire più di X tentativi di provare a connetterti.
  7. non trasmettere il tuo SSID, di nuovo questo impedirà agli script kiddie di tentare di accedere alla tua rete.

Qual è la marca/modello del tuo router?

0
Brad

Obbligatorio xkcd riferimento.

Ciò che conta davvero è quanta entropia contiene la tua password. Il problema è "entropia rispetto a cosa"? Se la tua password si trova nel dizionario di 100 parole dell'attaccante, allora ha meno di 8 bit di entropia anche se sta usando un ampio mix di tipi di caratteri, ad es. Pa $$ w0rd. La regola generale che ho sentito è che l'inglese ha circa 3 bit di entropia per lettera, quindi se non fai qualcosa di stupido allora dovresti essere d'accordo con ciel (64/3) = 22 lettere.

Indipendentemente da ciò, 8 caratteri non sono sufficienti, come D.W. ha spiegato.

0
Major Major