De ontwikkelaars van de populaire wachtwoordkraker Hashcat hebben een nieuwe techniek ontdekt om WPA/WPA2 PSK (pre-shared key) wachtwoorden te kraken. Naar eigen zeggen werd de techniek gevonden tijdens het zoeken naar manieren om de nieuwe WP3-standaard aan te vallen.
Een groot verschil met bestaande bruteforce-aanvallen is dat de nieuwe aanval niet de volledige EAPoL four way handshake hoeft op te vangen, maar de de Pairwise Master Key Identifier (PMKID) opvangt. EAPoL is een authenticatieprotocol dat wordt gebruikt om toegang tot een netwerk te krijgen. In het verleden moest een aanvaller de volledige handshake tussen het access point en de gebruiker opvangen, om vervolgens een offline aanval te starten voor het kraken van het WPA-wachtwoord.
"De aanvaller moest op een fysieke locatie aanwezig zijn om de authenticatieframes van zowel het access point als de gebruiker op te slaan. De aanvaller moest ook wachten totdat de gebruiker ging inloggen op het netwerk en moest op dat exacte moment het verkeer opslaan", zegt Hashcat-ontwikkelaar Jens Steube tegenover iTnews. Bij de nieuwe aanval communiceert de aanvaller direct met het access point. "Met onze aanval, als je het PMKID van het access point ontvangt, kun je toegang tot het netwerk krijgen als je de WPA pre-shared key weet te raden", gaat Steube verder.
Zodra het PMKID is verkregen moet de PSK worden geraden of gekraakt. Het gaat hier nog steeds om een bruteforce-aanval, zoals op Reddit en Hacker News wordt opgemerkt. Het succes van de aanval is dan ook afhankelijk van de lengte van de pre-shared key. Gebruikers krijgen daarom het advies om een lang en complex wifi-wachtwoord in te stellen, aangezien dit het kraken lastiger maakt. Volgens Steube hebben veel gebruikers echter niet de technische kennis om de PSK op hun routers te veranderen en blijven ze de PSK gebruiken die door de fabrikant werd gegenereerd. Daar komt bij dat sommige fabrikanten voorspelbare patronen gebruiken bij het genereren van pre-shared keys. Op het forum van Hashcat stelt Steube dat de aanval waarschijnlijk tegen alle 802.11i/p/q/r-netwerken werkt, wat de meeste moderne routers zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.