it-swarm-vi.com

Đề nghị độ dài cho Wi-FI PSK?

Tôi hiện có một mạng được thiết lập với mã hóa WPA2 và AES, mật khẩu dài 8 ký tự nhưng được tạo ngẫu nhiên và không chứa từ trong từ điển. Tuy nhiên, tôi lo ngại về sức mạnh ngày càng tăng của máy tính và khả năng bẻ khóa bắt tay của chúng, vì vậy tôi đang xem xét tăng chiều dài.

Tôi biết rằng tôi có thể lên tới 63 ký tự nếu tôi cực kỳ hoang tưởng, nhưng thật không may tôi phải nhập mật khẩu này vào Android và các thiết bị khác vì vậy tôi muốn giữ nó ngắn hơn một cách hợp lý để cho phép nó được gõ dễ dàng.

Mật khẩu ngẫu nhiên 16 ký tự có đủ để bảo mật mạng được mã hóa WPA2 không? Khuyến nghị hiện tại về độ dài mật khẩu, đặc biệt là đối với các mạng không dây và độ dài mật khẩu nào đủ để bảo vệ mạng của tôi trước một cuộc tấn công tiêu chuẩn?

27
Concrete Donkey

Có, 16 ký tự là quá đủ , nếu chúng được tạo ngẫu nhiên bằng PRNG cường độ mã hóa. Nếu bạn sử dụng chữ thường, chữ hoa và chữ số và nếu bạn tạo nó thực sự ngẫu nhiên, thì mật khẩu 16 ký tự có 95 bit entropy. Thế là quá đủ. Trên thực tế, 12 ký tự là đủ ; cung cấp cho bạn 71 bit entropy, cũng đủ để bảo mật chống lại tất cả các cuộc tấn công mà kẻ tấn công có thể cố gắng tấn công mật khẩu của bạn.

Khi mật khẩu của bạn dài 12 ký tự trở lên, mật khẩu cực kỳ khó có thể là liên kết yếu nhất trong hệ thống của bạn. Do đó, không có nhiều điểm để chọn mật khẩu dài hơn. Tôi thấy những người khuyên bạn nên sử dụng mật khẩu 60 ký tự, nhưng tôi không nghĩ có bất kỳ cơ sở hợp lý nào để làm như vậy. Quan điểm của tôi là khả năng sử dụng là rất quan trọng: nếu bạn làm cho cơ chế bảo mật quá khó sử dụng, mọi người sẽ khó chịu và có thể miễn cưỡng sử dụng nó hơn trong tương lai, điều này không tốt. Một cơ chế bảo mật không được sử dụng sẽ không làm ai tốt cả. Đó là lý do tại sao tôi thích chọn một mật khẩu ngắn hơn, như độ dài 12 ký tự hoặc 16 ký tự, vì nó hoàn toàn đầy đủ và có thể sử dụng nhiều hơn một con thú 60 ký tự.

Hãy cẩn thận với cách bạn chọn mật khẩu. Bạn cần sử dụng PRNG mạnh về mật mã, như /dev/urandom. Chẳng hạn, đây là một đoạn script đơn giản tôi sử dụng trên Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Đừng cố gắng tự chọn mật khẩu. Mật khẩu do con người chọn thường dễ đoán hơn mật khẩu thực sự ngẫu nhiên.

Một cảnh báo rất quan trọng: Có những vấn đề khác, ngoài độ dài mật khẩu. Điều rất quan trọng là bạn tắt WPS , vì WPS có lỗ hổng bảo mật lớn . Ngoài ra, tôi khuyên bạn nên sử dụng WPA2; tránh WPA-TKIP và không bao giờ sử dụng WEP.

24
D.W.

Câu hỏi này đã được hỏi nhiều lần trước đây, mật khẩu 12 ký tự có số, ký hiệu, chữ thường và chữ in hoa sẽ mất một thời gian rất dài để đánh bại. Nếu mật khẩu của bạn không có trong từ điển, thì bạn sẽ cần phải sử dụng một cuộc tấn công bruteforce. Chúng tôi có thể ước tính số lượng mật khẩu đã thử:

Nếu bạn có 94 ký tự có thể (ASCII) và mật khẩu của bạn dài 12 ký tự. Sau đó, bạn sẽ có:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Với GPU hiện đại (tôi đã tìm thấy điều này trên Phần cứng của Tom):Toms Hardware

Bạn có thể nhận được khoảng 215 000 lượt đoán mỗi giây. Vì vậy, nếu chúng ta tìm kiếm sẽ mất bao lâu:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia để đoán mật khẩu của bạn (thực tế là một nửa số tiền đó theo thống kê).

11
Lucas Kauffman

Thực sự không có câu trả lời nào phù hợp cho tất cả. Tóm lại là: Nếu bạn muốn có sự cân bằng an toàn và khả năng sử dụng phù hợp phù hợp với bạn, hãy tạo mật khẩu dài và phức tạp nhất có thể.

Đối với cá nhân tôi, tôi không có ý định gì về việc đặt PSK được tạo ngẫu nhiên 63 ký tự trên các điểm truy cập của mình. Có, có thể khó nhập vào các thiết bị thông minh và như vậy. Nhưng điều tôi luôn nhắc nhở bản thân với điều này là tôi chỉ cần nhập nó một lần cho mỗi thiết bị. Thêm thiết bị mới vào mạng của tôi là một trường hợp tương đối hiếm và không đáng kể, so với lượng thời gian tôi thực sự sử dụng mạng và tăng cường bảo mật của mật khẩu không thể phá vỡ.

Nếu bạn không thể sống với việc sử dụng mật khẩu được tạo ngẫu nhiên 63 ký tự một lần cho mỗi thiết bị trên mạng của mình, hãy thu nhỏ mật khẩu cho đến khi bạn có được thứ gì đó dễ tiêu hóa hơn cho chính mình. Có lẽ tìm một cách hợp lý để tạo một mật khẩu dài, dường như ngẫu nhiên thực sự có ý nghĩa với bạn. Tùy thuộc vào mức độ bạn muốn bảo mật mạng của mình, bạn cũng có thể muốn xem xét các bổ sung chuyên sâu như lọc địa chỉ MAC, phân vùng mạng (ví dụ: tường lửa giữa Wi-Fi & LAN) và VPN.

Theo như khuyến nghị về mật khẩu chung (Wi-Fi và các cách khác), đây là đề xuất của tôi:

  • Tối thiểu 15 ký tự. [.___.]
    • Nhiều tiêu chuẩn cũ hơn nói 8, hầu hết các tiêu chuẩn mới nói 12, và một số thậm chí đề nghị 20 hoặc nhiều hơn.
    • Tôi nói 15 là mức tối thiểu, bởi vì nó buộc các phiên bản Windows cũ hơn không lưu trữ hàm băm LANMAN không an toàn.
  • Sử dụng tất cả 4 loại ký tự. [.__.]
    • Chữ viết hoa
    • Chữ viết thường
    • Số
    • Biểu tượng
  • Tránh bao gồm các từ thực tế hoặc các biến thể đơn giản của các từ trong mật khẩu của bạn. [.__.]
    • "mật khẩu"
    • "P @ $$ w0rd"
    • vân vân.
  • Đừng ghi mật khẩu của bạn xuống, hoặc lưu trữ chúng trong các tệp Cleartext.
  • Không chia sẻ mật khẩu của bạn và không sử dụng lại mật khẩu có độ nhạy cao trên nhiều trang web.
2
Iszi

Tôi đã viết lên một kịch bản nhỏ trong Perl cho bạn ở phía dưới. Bạn sẽ có thể giải thích nó và nhận được câu trả lời của bạn với một máy tính, mặc dù.

Hãy nhớ rằng nếu mật khẩu của bạn nằm trong từ điển hoặc đủ ngắn để tạo các bảng Rainbow thì cường độ hiệu quả sẽ yếu hơn rất nhiều nếu không tính toán. Điểm chuẩn PBKDF2 để xác định tốc độ có thể kiểm tra mật khẩu (Lucas chỉ ra 215.000 với một số phần cứng đồ họa nặng). Lưu ý rằng các bảng Rainbow sẽ là một yếu tố nếu bạn có một tên SSID chung ("linksys"), nhưng sẽ không có nếu bạn có thứ gì đó tối nghĩa hơn nhiều.

#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
2
Jeff Ferland

Có tối thiểu 2-3 cách tôi sẽ giải quyết điều này.

NẾU dữ liệu trong mạng được bảo vệ bởi một số loại quy định (HIPAA, PCI, v.v.) thì tôi sẽ quá nhiệt tình và làm tất cả những điều này. Tôi chắc chắn có nhiều hơn nhưng đó là tất cả những gì tôi có thể nghĩ ra khỏi đầu.

  1. Nhiều nhân vật như bạn có thể chịu đựng.
  2. Tắt WPS vì reaver có thể bẻ khóa này trong khoảng 10 giờ.
  3. Thực hiện khảo sát không dây cho tất cả các AP của bạn và tắt cài đặt nguồn điện để bạn không thể nhận được tín hiệu từ bên ngoài tòa nhà. (Tôi sử dụng trình phân tích không dây cho Android trên điện thoại của tôi hoặc inSSIDER www.metageek.net/products/inssider/ cho máy tính xách tay của bạn)
  4. Khóa các địa chỉ MAC (mặc dù chúng có thể bị giả mạo nhưng nó sẽ giúp ngăn chặn các skiddies)
  5. kiểm tra http://weaknetlabs.com họ có một số lý thuyết thú vị về bảo mật bổ sung cho WEP/WPA.
  6. Kiểm tra truy cập mạng của bạn cụ thể xem xét các lần thử truy cập và sử dụng ACL để không cho phép nhiều hơn X lần thử kết nối.
  7. không phát SSID của bạn, một lần nữa điều này sẽ chiếm ưu thế cho những đứa trẻ kịch bản cố gắng truy cập mạng của bạn.

Kiểu/mô hình của bộ định tuyến của bạn là gì?

0
Brad

Bắt buộc xkcd tham chiếu.

Điều thực sự quan trọng là mật khẩu của bạn chứa bao nhiêu entropy. Vấn đề là "entropy so với cái gì"? Nếu mật khẩu của bạn nằm trong từ điển 100 Word của kẻ tấn công, thì nó có ít hơn 8 bit entropy ngay cả khi nó đang sử dụng hỗn hợp nhiều loại ký tự, ví dụ: Pa $$ w0rd. Nguyên tắc chung mà tôi đã nghe là tiếng Anh có khoảng 3 bit entropy cho mỗi chữ cái, vì vậy nếu bạn không làm điều gì đó ngu ngốc thì bạn sẽ ổn với ciel (64/3) = 22 chữ cái.

Bất kể, 8 ký tự là không đủ, vì D.W. giải thích.

0
Major Major