Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
qifi.org: goed idee?
16-02-2020, 12:30 door Erik van Straten, 18 reacties
In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Reacties (18)
Je hoeft helemaal geen gebruik te maken van een externe website hiervoor als je niets vertrouwt.
Je hoeft alleen maar uit te zoeken wat de structuur is van de gemaakte QR codes, bijv je gaat even naar die site en je
laat een code maken voor een fake SSID en password en dan scan je die met een QR scanner die gewoon laat zien wat
er gescand is.
Vervolgens kun je dan zelf QR codes maken met een lokaal geinstalleerd programma waarvan je weet dat het niks doorstuurt.
Ik heb zelf toen we ooit nog Vasco tokens hadden die je als app op je mobiel kunt zetten een pagina op ons intranet gezet
waarmee je als user, ingelogd op het interne netwerk, zelf de QR code kon opvragen voor het aan jou toegekende Vasco
token. Zodat je dit zelf kon activeren op je telefoon.
Dat werkte prima en zonder enige externe service te gebruiken die evt de codes zou kunnen lekken. Ik gebruikte gewoon
een of ander standaard tool om QR codes te kunnen maken vanuit PHP.
Je hoeft alleen maar uit te zoeken wat de structuur is van de gemaakte QR codes, bijv je gaat even naar die site en je
laat een code maken voor een fake SSID en password en dan scan je die met een QR scanner die gewoon laat zien wat
er gescand is.
Vervolgens kun je dan zelf QR codes maken met een lokaal geinstalleerd programma waarvan je weet dat het niks doorstuurt.
Ik heb zelf toen we ooit nog Vasco tokens hadden die je als app op je mobiel kunt zetten een pagina op ons intranet gezet
waarmee je als user, ingelogd op het interne netwerk, zelf de QR code kon opvragen voor het aan jou toegekende Vasco
token. Zodat je dit zelf kon activeren op je telefoon.
Dat werkte prima en zonder enige externe service te gebruiken die evt de codes zou kunnen lekken. Ik gebruikte gewoon
een of ander standaard tool om QR codes te kunnen maken vanuit PHP.
Zoek eens op wat het payload-dataformaat van zo'n "wifi qr-code" is, en bouw eventueel je eigen javascript-in-mobiele-browser-app die hetzelfde doet.
Het probleem blijft altijd dat je niet precies weet wat zo'n derde partij uitvreet, maar in dit geval is het niet zo heel moeilijk om het zelf te doen.
Meer algemeen, hoe meer partijen makkelijk even "een app" inelkaar kunnen draaien en wijd verspreiden, hoe makkelijker er malafide rommel tussen kan zitten. Denk maar eens na over mogelijke mitigaties (en wat er dan gebeurt), danwel hoe je de noodzaak tot op derde partijen te moeten vertrouwen kan verminderen en ondervangen.
Het probleem blijft altijd dat je niet precies weet wat zo'n derde partij uitvreet, maar in dit geval is het niet zo heel moeilijk om het zelf te doen.
Meer algemeen, hoe meer partijen makkelijk even "een app" inelkaar kunnen draaien en wijd verspreiden, hoe makkelijker er malafide rommel tussen kan zitten. Denk maar eens na over mogelijke mitigaties (en wat er dan gebeurt), danwel hoe je de noodzaak tot op derde partijen te moeten vertrouwen kan verminderen en ondervangen.
Het idee om een QR code te hebben om wifi te configureren vindt ik wel goed. Zoals je zelf ook al aangeeft kan het daardoor veilig configureren zonder dat het tot gepruts op schermpjes leidt.
Of je qifi.org vertrouwd is natuurlijk een andere vraag. Ik heb net onzin ingevuld en daarnaast de "Network" tab van de firefox Web developer tools open gehad en er werd inderdaad niets verstuurd. Mocht je toch argwanen (wat ik me kan voorstellen) dan kan je:
1) Zelf de code van github downloaden en zelf hosten, desnoods op een verder airgapped pc
of
2) Andere (offline) tools gebruiken om een QR code met dezelfde inhoud te maken, zeker als je met tijdelijke passphrases wil werken is dat wel zo makkelijk denk ik
Of je qifi.org vertrouwd is natuurlijk een andere vraag. Ik heb net onzin ingevuld en daarnaast de "Network" tab van de firefox Web developer tools open gehad en er werd inderdaad niets verstuurd. Mocht je toch argwanen (wat ik me kan voorstellen) dan kan je:
1) Zelf de code van github downloaden en zelf hosten, desnoods op een verder airgapped pc
of
2) Andere (offline) tools gebruiken om een QR code met dezelfde inhoud te maken, zeker als je met tijdelijke passphrases wil werken is dat wel zo makkelijk denk ik
16-02-2020, 16:47 door
linux4
Ik zie het probleem niet zo 1,2,3. Stel de website kopieert jouw SSID en wachtwoord dan nog is het alleen bruikbaar op een locatie die men waarschijnlijk niet kan achterhalen. En als je dan zo dom bent je hele adres in je SSID te zetten dan moeten de eigenaren van de website eerst naar Nederland vliegen om jouw Wifi te misbruiken. Kortom...
Mocht je op zoek gaan naar het data formaat voor zo'n wifi QR code, wikipedia weet uiteraard het antwoord:
https://en.wikipedia.org/wiki/QR_code#Wi-Fi_network_login
https://en.wikipedia.org/wiki/QR_code#Wi-Fi_network_login
Door Erik van Straten: In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Interessant.
Ik lees net dat Android Q (10) de optie heeft (in het OS) om een Wifi code als QR te sharen.
https://www.androidauthority.com/android-q-wifi-qr-code-965569/
Dat is makkelijk als de Wifi code al in één device zit - en als standaard OS feature m.i. net wat meer vertrouwd dan een willekeurige app van een appstore.
De qifi.org code zegt puur javascript te zijn (en beschikbaar op github), dus als je ietwat paranoide bent kun je die zelf/offline/bedrijfsportal draaien in plaats van bij qifi.
In bedrijfs/horeca settings zou ik denk ik een geplastificeerd papier neer leggen als service met QR (+ leesbare) SSID/pw voor gastennetwerken e.d.
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
Door Anoniem:
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
17-02-2020, 12:27 door
Erik van Straten
Door Anoniem: En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
Bij het wijzigen van een wachtwoord is dat zinvol: als er maar 1 veld zou zijn en je maakt een tikfout, kun je niet meer inloggen. Bovendien zou 2x intikken ertoe kunnen leiden dat je jouw nieuwe wachtwoord beter onthoudt, maar dat zal vast niet voor iedereen gelden.Waar dat goed voor is??
Bovendien zijn die 2 velden alleen maar irritant als je een wachtwoordmanager gebruikt (en het wachtwoord random hebt laten genereren), en helemaal als copy/paste niet werkt. Nb. van mij mogen alle loginschermen een "advanced" button hebben met een "use at your own risk" disclaimer plus toelichting, waarbij het invullen van 1 wachtwoordveld volstaat en copy/paste wel werkt.
Bij inlogschermen kom ik zelden of nooit twee wachtwoordvelden tegen (wellicht op phishingpagina's waar cybercriminelen zeker willen weten dat je ze een foutloos wachtwoord geeft, en je tevens proberen af te leiden van bijv. de domeinnaam: hoe meer je in moet vullen, hoe meer geïrriteerd en gehaast je raakt - en daardoor geneigd kunt zijn om minder goed op te letten aan wie je die gegevens verstrekt).
Heb je voorbeelden van inlog-scenario's waar je 2x jouw wachtwoord moet intikken?
07-01-2021, 20:15 door
eeef
Voor mensen die het niet vertrouwen is het inderdaad mogelijk een QR code scanner te downloaden die alleen de inhoud leest en dit vervolgens weergeeft in tekst (dus niet daadwerkelijk iets met de QR code doet behalve lezen wat het is).
Op die manier ben je er zeker van dat er geen onveilige acties uitgevoerd worden na het scannen.
Voor diegene die een wifi QR code wat leuker willen maken is de Nederlandstalige generator https://qrcodetotaal.nl/wifi-qr-code/ een leuke optie.
Op die manier ben je er zeker van dat er geen onveilige acties uitgevoerd worden na het scannen.
Voor diegene die een wifi QR code wat leuker willen maken is de Nederlandstalige generator https://qrcodetotaal.nl/wifi-qr-code/ een leuke optie.
Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
Door Anoniem: Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
1. Je "gooit het helemaal niet in een website". Dit is een javascript wat lokaal draait in je browser. Je kunt die paginaopvragen, je internet verbreken, en dan een SSID en password intikken en dan nog werkt het.
2. dat maakt toch niks uit. dat is daarboven al uitgelegd. zelfs al wordt je wachtwoord bekend denk je dan dat de eigenaar
van die site de halve wereld afreist om bij jou voor de deur in jouw wifi netwerk in te breken?
Je moet er toch al vanuit gaan dat iedereen kan "verbinden met je wifi" en alle beveiliging "verderop" aanbrengen.
Immers steeds meer systemen delen gewoon je wifi wachtwoord met bekenden als je even niet oplet, en zelfs dergelijke
QR codes kun je al gewoon op een telefoon toveren als die eenmaal is aangemeld en dan overnemen op een andere.
Door Anoniem: Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
En dan weet je de SSID en het wachtwoord van iemand z'n wifi. Wat wil je er dan mee doen?Security technisch is het slechte vorm om creds in plaintext te versturen of naar een website te sturen, zeker, maar voor dit specifieke geval is het risico gewoon laag, en er zijn prima manieren om om dat risico heen te gaan mocht je het niet vertrouwen.
Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Je bent me net voor, maar precies dit is een mogelijkheid die ook in me opkwam en ik zelf ook al eerder gebruikt heb.
Overigens is het een beperkt risico om deze gegeven via een publieke website te laten generen.
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Je bent me voor :-).apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Dit werkt ook in Debian.
Door linux4: Stel de website kopieert jouw SSID en wachtwoord dan nog is het alleen bruikbaar op een locatie die men waarschijnlijk niet kan achterhalen. En als je dan zo dom bent je hele adres in je SSID te zetten dan moeten de eigenaren van de website eerst naar Nederland vliegen om jouw Wifi te misbruiken. Kortom...
Op basis van ssid en/of bssid is het vaak mogelijk om een wifi-punt naar een fysieke locatie te brengen. Er zijn partijen die dit scannen en via publieke databases, waaronder Google / Wigle, is deze informatie doorzoekbaar.Door Anoniem:
Dit werkt ook in Debian.
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :
apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Je bent me voor :-).apt-get install -y qrencode
qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"
Genereert een wifi.png file met de qr-code. Geheel lokaal.
Dit werkt ook in Debian.
Met brew ook op de mac natuurlijk.
brew install qrencode
[https://brew.sh
Blij dat er meer lezers zijn die een beetje hetzelfde denken. Soms voel ik me een beetje een "freak".
Overigens kun je met qrencode nog veeeel meer leuke dingen doen natuurlijk.
Doorverwijzen naar een website of een file ergens op het internet bijvoorbeeld.
Maar dat is off-topic.
Overigens kun je met qrencode nog veeeel meer leuke dingen doen natuurlijk.
Doorverwijzen naar een website of een file ergens op het internet bijvoorbeeld.
Maar dat is off-topic.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
