Zabezpečení Wifi pomocí WPA-PSK/TKIP je nedostatečné
Bezpečnost
27.08.09
Dosud se mělo za to, že zabezpečení Wifi pomocí WPA-PSK s TKIP šifrováním by mělo být pro domácí podmínky relativně dostatečné. Některá starší zařízení totiž nepodporuji WPA2 s AES, a tak TKIP byla často jediná možnost (považována za poněkud lepší než tragický WEP).
Dle článku dnes zveřejněného na ComputerWorld.com je ovšem TKIP nově prolomitelné také během jedné minuty, takže je to dobrý důvod, proč případná starší zařízení upgradovat a používat jen a pouze WPA2-PSK / AES (to je stále bezpečné).
Související: Jak zabezpečit domácí Wifi router / síť - WPA / WEP
A čo my ktorí máme síce ešte WPA ale už s implementáciou AES? Čiže nie je to WPA2_PSK AES ale WPA-PSK AES? Konkrétne ide o Linksys WRT54GS.
[1] to je v pohodě, podle článku je problém v TKIP samotném: "They do not work on newer WPA 2 devices or on WPA systems that use the stronger Advanced Encryption Standard (AES) algorithm"
Prolomení je vždy jen otázkou času, takže nejsem optimista, že WPA2-PSK je tu s námi navždy.
Útok se jim sice povedl, nicméně by bylo zajímavé vidět zdrojové kódy programu, kterým jej provedli, škoda že na ně citovaný článek nevede (ale ony se někde nakonec najdou).
Pane Hulane,
Som tu sice novy vas blog citam pomerne dlho, viac krat som mal chut oponovat alebo s vami suhlasit no teraz som uz musel.
problematike samotnej wifi sa nezaoberam az tak podrobne ja som skor zamerany na problematiku serverov,no podla toho co som si o prelomeni wpa-psk tkip precital ja, samotne prelomenie wifi je mozne do jednej minuty iba v pripade ze utocnik pozna MIC kluc. tento kluc nadalej trva ziskat +- 10 az 15 minut. cize prelomenie wifi do 1 minuty je mozne iba v niektorych pripadoch.
Ehm,
aká škoda môže pri prelomení siete vlastne vzniknúť? Okrem toho, že niekto "internetuje" na cudzí účet, sú ohrozené aj súbory a údaje užívateľov v sieti?
[5] Třeba může odposlechnout všechna data, některá přihlašovací jména, hesla atd. Ne všude se používá zabezpečené SSL spojení.
[5] třeba se velice snadno napojí na tvoji domácí síť, protože máš zapnuté sdílení souborů a triviální nebo vůbec žádné heslo. Nejlepší "Wifi" je Ethernetový kabel :)
A proč ne Radius (IAS popř. nějaký Linux klon)? Je to bezva např. ve spojení s AD pro přístup zaměstnanců do firemní WiFi. Ve spojení s VLAN či jinčí fncí je to poměrně solidní ochrana. Samozřejmě věc přístupu do sítě a šífrování sítě je už věc jiná...
Mimoch. i na ethernetovou přípojku (port) lze aplikovat Radius což je paráda.