image

WPA nog steeds voldoende voor WiFi-netwerk

dinsdag 14 oktober 2008, 15:25 door Redactie, 11 reacties

Eigenaren van een draadloos netwerk met WPA-beveiliging hoeven zich geen zorgen te maken dat hackers binnenkort via hun access point surfen. Vorige week liet het Russische ElcomSoft weten dat het dankzij de kracht van videokaarten WPA en WPA2 sleutels honderd keer sneller kan kraken. Volgens een beveiliger betekende dit zelfs dat WPA/WPA2 overbodig is geworden en iedereen op VPN's moet overstappen. Beveiligingsexpert Robert Graham maakt zich geen zorgen. "Op z'n hoogst betekent dit dat je één extra karakter aan je WPA wachtwoord moet toevoegen om hetzelfde niveau van veiligheid te bereiken."

Het kraken van wachtwoorden is exponentieel, waardoor elk extra karakter in een wachtwoord betekent dat het honderd keer lastiger te kraken is, ervan uitgaande dat cijfers, symbolen, hoofd en kleine letters gebruikt worden. Graham verwacht daarnaast niet dat wachtwoordkrakers massaal Nvidia videokaarten zullen inslaan, aangezien het voordeliger en sneller is om in FPGAs te investeren.

"Je kunt WPA wachtwoorden alleen kraken als iedereen op hetzelfde netwerk hetzelfde wachtwoord gebruikt, via pre-shared keys (PSK). Bedrijven die via RADIUS of EAP verschillende wachtwoorden aan verschillende mensen geven zijn niet kwetsbaar voor dit soort aanvallen. Als thuisgebruikers paranoïde zijn, dan kunnen ze een RADIUS server installeren." George Ou is het helemaal met Graham eens en adviseert gebruikers en bedrijven om niet op een VPN over te stappen. "VPN is nooit de juiste oplossing voor WLAN security geweest. Negeer de 'experts' en bedrijven die je een nieuwe oplossing proberen te verkopen, die in de eerste plaats al niet zinnig is en gebruik je gezonde verstand."

Botnet power
Volgens Graham zijn wachtwoordkrakers goed in het achterhalen op welke manier mensen wachtwoorden kiezen. "Als je iets kiest zoals 'Gordeldier*Zebra', dan zal je wachtwoord snel gekraakt worden. Je WPA wachtwoord moet zowel lang als complex zijn." Toch maakt hij zich zorgen over wachtwoordkrakers zoals die van ElcomSoft. Niet omdat het de GPU gebruikt, maar vanwege de gedistribueerde verwerking. Alle computers in een netwerk, of botnet, zouden kunnen meewerken aan het kraken van één WPA-wachtwoord. "Weinig mensen investeren in hardware voor alleen het kraken van een wachtwoord, maar veel bedrijven hebben rekenkracht over die ze kunnen gebruiken. Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."

Reacties (11)
14-10-2008, 15:57 door Sith Warrior
Ik kan geen extra chars meer toevoegen aan mijn WPA2 password, het is al maximum aantal tekens. Dat duurt, als ik het zo lees (10 tekens duurt al 5 jaar) meer dan een eeuwigheid voor dat gekraakt is met huidige capcaciteiten. En dan verander ik password ook nog eens 1 keer in de zoveel maanden.

Niks om je als thuis gebruiker zorgen over te maken dus. (bedrijven met WPA Enterprise hoeven dat al helemaal niet)
14-10-2008, 16:18 door Anoniem
De afgelopen dagen heb ik mij verwonderd over alle opwinding. Alle mensen die een beetje kennis hebben van crypto en wifi weten dat WPA2 (mits goed opgezet) niet in een zaterdagmiddagje te kraken is. Blijkbaar is het vertrouwen in wifi/crypto wel erg laag.

Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
14-10-2008, 16:54 door Anoniem
Wat mij altijd opvalt is dat " experts" elkaar veel tegenspreken.
Ik krijg het idee dat men vaak maar wat roept om de aandacht te trekken.
Misschien weet eigenlijk niemand hoe de zaken nu precies in elkaar steken.
14-10-2008, 23:46 door Anoniem
Door AnoniemDe afgelopen dagen heb ik mij verwonderd over alle opwinding. Alle mensen die een beetje kennis hebben van crypto en wifi weten dat WPA2 (mits goed opgezet) niet in een zaterdagmiddagje te kraken is. Blijkbaar is het vertrouwen in wifi/crypto wel erg laag.

Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.

Hear hear !!! ;)
15-10-2008, 11:19 door Lamaar
Door AnoniemDe afgelopen dagen heb ik mij verwonderd over alle opwinding. Alle mensen die een beetje kennis hebben van crypto en wifi weten dat WPA2 (mits goed opgezet) niet in een zaterdagmiddagje te kraken is. Blijkbaar is het vertrouwen in wifi/crypto wel erg laag.

Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Kijk, kijk, zowaar eens een normaal verstandig commentaar hier. Heel wat beter dan die kretologieën van sommigen die denken dat iedereen veilig is als je maar open source gebruikt of zo.

Zoals de schrijver al opmerkte: gezond verstand en een kritische houding zijn het belangrijkst.
15-10-2008, 11:38 door Eerde
Het oorspronkelijke artikel was ook typische wc-een FUD, zoals zo vaak op deze pagina's.
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.


_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
15-10-2008, 12:25 door Anoniem
Door EerdeHet oorspronkelijke artikel was ook typische wc-een FUD, zoals zo vaak op deze pagina's.
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.


_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
wat heb jij een enorme plaat voor je kop zeg, waar lees jij dat het over windows gaat in dit artikel?
het gaat over de beveiliging van een netwerkprotocol, en de evt kraakbaarheid daarvan dmv nvidia videokaarten...

"nee, mensen in de waan laten dat ze veilig zijn, dat is bevorderlijk voor de algehele veiligheid"
15-10-2008, 13:24 door Gebruiker311369
Wat mij opvalt is dat hier verder niet aan het werk van h1kare wordt
gerefereerd, met fpga processoren kan je hashes genereren waarmee je wel
degelijk veel sneller wpa keys kan kraken. Zijn bedrijf levert apparatuur
waarmee een en ander gekraakt zou kunnen worden.

http://www.picocomputing.com/products/supercluster.php
15-10-2008, 14:26 door SirDice
Met voldoende geld, middelen en tijd is alles te kraken.
15-10-2008, 23:52 door Anoniem
Door SirDiceMet voldoende geld, middelen en tijd is alles te kraken.

Je hebt helemaal gelijk.

Het punt is, dat je met een gigantisch botnet een jaar (zoniet langer) bezig bent om een 1024 bits RSA-sleutel te kraken. Doorgaans loont het de moeite niet moderne crypto te brute-forcen. En dat is maar goed ook, want de kracht van moderne crypto zit hem daar juist in.

Er is een liedje geschreven over juist dat uitgangspunt. Het is ten gehore gebracht op het feest ter gelegenheid van het verlopen van het patent op het RSA-algoritme.


Superpolynomial subexponential runtimes.
Even though in practice it would take you several lifetimes,
If you ran it long enough you'd always find those two primes.
Superpolynomial subexponential runtimes

E to the root-log root-log-log [4x]

When I was but a naive lad first coding two's and three's
I thought the only "orders of" were trivialities.
But when I saw this function something opened up to me
The elegance of computational complexity.

[Chorus]

I was at a meeting when up came a man in black
Who told me that his agency had mounted an attack.
Convincing him was fruitless that his budget would collapse
All I know his trumpeter will soon be playing Taps.

[Chorus]

In virtual environments has grown up a debate
Of whether strong cryptography can overthrow the state.
But several such technologies including public key
Shall herald in the coming age of crypto-anarchy.

Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes

Bron: http://hpaste.org/2296 (kan geen directere bron vinden)
27-10-2008, 13:54 door Anoniem
Hilarisch:
Robert Graham: "Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."

Zoals ook al enkele mensen op Grahams blog noemden:
http://code.google.com/p/pyrit/

Echt zorgwekkend is een class-break. Dit is (voorlopig) gewoon snellere brute-force.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.