it-swarm-eu.dev

Una password WiFi più lunga è più sicura?

Oggi ho dovuto digitare più volte la stessa password per connettermi a una rete WiFi protetta da WPA2, e mi sono davvero infastidito dalla lunghezza della password. Soprattutto perché è solo una frase ripetuta due volte.

Quindi, quando si utilizza WPA2 con un router WiFi, è sempre più sicuro utilizzare password più lunghe?

15
Timm

Un breve paragrafo di n'altra risposta che ho qui praticamente copre questo, anche se non in modo molto dettagliato:


La quantità di protezione offerta dall'implementazione di una password in qualsiasi sistema varierà sempre in proporzione diretta alla complessità della password e allo sforzo compiuto per proteggere quella password. Le reti wireless non fanno eccezione.


Laddove viene utilizzato un forte meccanismo di hashing, password più lunghe e complesse ti invariabilmente ti porteranno in una posizione di sicurezza migliore. Consiglio vivamente di leggere alcune delle altre domande password che abbiamo qui. Uno di particolare interesse è:

XKCD # 936: password complessa breve o passphrase lunga del dizionario?

Va notato, tuttavia, che il PSK di una rete WPA2 è efficace solo quando WPS è disabilitato o non supportato sull'AP. Recenti attacchi del canale laterale consentono a un utente malintenzionato di interrompere WPS in un tempo relativamente breve e di raccogliere il WPA2 PSK direttamente dall'AP senza dover effettivamente rompere il PSK stesso.

11
Iszi

Dipende, ma in generale: sì.

Per attaccare una chiave WPA2 (e considerando che WPS è disattivabile!) Devi potenziarla, quindi più lunga è la chiave più tempo impiega.

Suggerisco di avere una chiave di tre lettere e posso elaborare circa 5 parole al secondo sull'AP (fittizio). Una parola può essere composta da 24 lettere e 10 numeri. Quindi le tue possibilità sono (24 + 10) ^ 3 = 39304. Se aggiungiamo una lettera otteniamo: (24 + 10) ^ 4 = 1336336 possibilità. Occorrerebbero 37 volte di più per elaborare tali possibilità.

Più lunga è la frase, maggiori sono le possibilità, maggiore è il tempo necessario per attaccare un AP.

Nota: TUTTAVIA, se prendi parole normali, devi fare attenzione agli attacchi del dizionario. Usano solo un dizionario e testano tutte le parole lì dentro, riduce significativamente le possibilità.

4
Lucas Kauffman

È sempre più sicuro? No, anche se di solito lo è.

Come contro-esempio, 1234567890 è molto più debole di B9xZbA sei caratteri alfanumerici generati casualmente, nonostante siano più lunghi. La differenza è il contenuto informativo dell'entropia della password. Fondamentalmente, quando lo spazio di esempio di una password creata in modo simile è più piccolo, la password è più facile da decifrare. Questo tipo di calcoli è un po 'difficile da fare in pratica, ma alcuni punti generali possono essere appresi. Espandere lo spazio degli elementi scelti casualmente è meno efficace che aumentare la lunghezza della password. Ad esempio, una password minuscola da 10 caratteri (26 lettere) di caratteri casuali ha 2610 ~ 1014 password possibili, mentre una password di 8 cifre che mescola casualmente il maiuscolo (maiuscolo da 52 lettere) ha 528 ~ 5 x 1013 la password può essere decifrata in circa la metà del tempo.

Come esempio migliore per una password wifi, in genere si desidera una passphrase ad alta entropia. Le passphrase possono essere più facili da ricordare di una password equivalente. Diceware è un buon modo per generare una passphrase. Ho appena generato glory pew golf iambic clip fee in pochi secondi con un generatore di numeri casuali. Ogni parola è stata generata da 5 tiri di dado (65 ~ 7776 scelte), quindi sei parole (630 ~ 1023) la passphrase richiederebbe circa un miliardo di volte in più di forza bruta rispetto a una minuscola di dieci caratteri. Una password equivalente in minuscolo sarebbe ~ 17 caratteri minuscoli vjdipotnbwpnzjvzr o ~ 14 caratteri misti (tkydzwULzRzSFs) o ~ 12 caratteri misti e caratteri speciali (Unsv9[}[g2Pk).

Ora quando hai una password che cade in un modello semplice come 1234567890 l'entropia è molto bassa; ad esempio, potresti dire di avere una scelta per il carattere iniziale (80 scelte) e il modo in cui sali o scendi caratteri (dì 4 possibilità) e la lunghezza della password (dì 1-30 caratteri). Questo ha 80x4x30 = 9600 ~ 103 è 10 miliardi di volte più facile da decifrare rispetto a dieci cifre casuali. Si potrebbe dire, beh, questo sarebbe solo se l'algoritmo di cracking cercasse questo tipo di password speciale, e questo è vero. Ma non è difficile verificare inizialmente alcuni di questi tipi di password (ed è molto più probabile che questi tipi di password compaiano negli elenchi delle password trapelate).

Allo stesso modo, se ho scelto una frase significativa come l'entropia è molto più bassa, in quanto vi sono piccoli elenchi di frasi significative che un attaccante in linea di principio potrebbe usare nei suoi attacchi.

Devi anche assicurarti che non ci siano altri attacchi contro il sistema, ad esempio, stai usando WEP o WPS o un altro sistema guasto, quindi la complessità della tua password è irrilevante.

2
dr jimbob

Questo post parla di brute-force a WPA password. La risposta breve è: sì, è più sicuro avere una password più lunga. La domanda è la relativa convenienza di avere una password più breve con una più sicura - se è il tuo wifi di casa, probabilmente non hai bisogno di una password lunga e folle, ma se è qualcosa di più importante, dovresti pensarci due volte.

1
mfrankli

In generale sì, tuttavia consiglio di non usare mai parole nella password e di impiantare un filtro per gli indirizzi MAC. È ancora possibile penetrare? Sì, ma nella maggior parte dei casi chi vorrebbe preoccuparsi di una password lunga e di un filtro dell'indirizzo MAC. Poi di nuovo c'è il WiFi Pineapple: http://revision3.com/hak5/pineapples I dongle 3G o 4G sono molto più sicuri, ma tutto dipende dall'applicazione completa e dal budget.

0
Brad

Le risposte hanno già spiegato molte cose. In pratica, quanto deve essere lungo? Probabilmente più lungo di quello che la persona media usa in pratica, ma meno di alcuni dei suggerimenti visti sul web. Ho deciso di scoprire una dimensione ragionevolmente sicura che è ancora abbastanza facile da gestire. Abbastanza sicuro per me sarebbe che un avversario con accesso a 10 PC di fascia alta in 5 anni (il tempo in cui terrò la password) avrà ancora solo il 2% di probabilità di decifrare la password in 1 mese. Regola i numeri come preferisci. Un avversario molto potente può avere accesso a più potenza di calcolo, ma è improbabile che lo utilizzi per un mese intero.

Secondo hashcat, un PC di fascia alta con 8 schede grafiche di fascia alta è in grado di controllare poco più di 2,2 milioni di passphrase (in realtà: hash) al secondo. Se supponiamo che le prestazioni raddoppino ogni anno, in 5 anni, 1 PC di punta sarà in grado di controllare 71 milioni di hash al secondo. Quindi 10 di questi PC potrebbero eseguire 714 milioni di hash al secondo, ovvero circa 1.879.149.888.000.000 di hash in 1 mese. Dato che richiediamo solo il 2% di possibilità di craccare la password, dobbiamo disporre di una regola per la creazione di password che consenta 93.957.494.400.000.000 di possibilità.

Quindi, se usi una passphrase veramente casuale, puoi cavartela con 12 lettere minuscole o 9-10 caratteri alfanumerici (lettere maiuscole e minuscole più cifre). Mi piacciono le lettere minuscole in quanto puoi digitarle facilmente sul tuo dispositivo mobile. Ma non è assolutamente necessario utilizzare passphrase di 50 caratteri eccessivamente complessi che utilizzano tutti i tipi di caratteri speciali.

Inoltre, se non si è a conoscenza: è necessario utilizzare un ESSID che non è abbastanza comune da essere già stato calcolato da qualcuno per una tabella Rainbow.

0
Martin Elb