Tai nėra didžiulės naujienos apie naują saugumo spragą. Tai reiškia, kad WPA2-PSK visada buvo įgyvendintas. Bet tai, ko dauguma žmonių nežino.
Atidarykite "Wi-Fi" tinklus ir "Šifruotus" "Wi-Fi" tinklus
Namuose neturėtumėte turėti atvirų "Wi-Fi" tinklų, bet jūs galite rasti jį viešai, pvz., Kavinėje, važiuodamas per oro uostą ar viešbutyje. Atidaryti "Wi-Fi" tinklai neturi šifravimo, o tai reiškia, kad viskas, kas išsiųsta per orą, yra "aiškus". Žmonės gali stebėti jūsų naršymo veiklą ir bet kokią žiniatinklio veiklą, kuri nėra saugoma naudojant šifravimą, gali būti pašalinta. Taip, tai netgi tiesa, jei prisijungdami prie atviro "Wi-Fi" tinklo turite prisijungti naudodami prisijungimo vardą ir slaptažodį tinklalapyje.
Šifravimas, kaip ir WPA2-PSK šifravimas, kurį rekomenduojame naudoti namuose, šiek tiek sureaguoja. Kažkas šalia gali ne tik užfiksuoti jūsų srautą ir įtinklėti jus. Jie gaus keletą šifruoto srauto. Tai reiškia, kad užkoduotas "Wi-Fi" tinklas apsaugo jūsų privatųjį srautą.
Tai natūra, tiesa, bet čia yra didelis silpnumas.
WPA2-PSK naudoja bendrąjį raktą
Problema su WPA2-PSK yra ta, kad joje naudojamas "išankstinio dalijimosi raktas". Šis raktas yra slaptažodis arba slaptafrazė, kurią turite įvesti prisijungdami prie "Wi-Fi" tinklo. Visi prisijungę, naudoja tą pačią slaptafrazę.
Žmonės gali lengvai stebėti šį užšifruotą srautą. Viskas, ko jiems reikia:
- Slaptafrazė: Kiekvienas, turintis leidimą prisijungti prie "Wi-Fi" tinklo, turės tai.
- Asociacijos srautas naujam klientui: Jei kas nors užfiksuoja paketus, siunčiamus tarp maršrutizatoriaus ir įrenginio, kai jis jungiasi, jie turi viską, ko reikia srautui iššifruoti (darant prielaidą, kad jie taip pat turi slaptafrazę). Tai taip pat nereikšminga, kad gautų šį srautą per "deauth" išpuolius, kurie priverstinai atjungia įrenginį nuo "Wi_Fi" tinklo ir priverčia jį vėl prisijungti, todėl asociacijos procesas vėl vyksta.
Tiesą sakant, negalime pabrėžti, kaip tai paprasta. "Wireshark" turi įmontuotą galimybę automatiškai iššifruoti WPA2-PSK srautą, jei turite iš anksto bendrintą raktą ir užfiksavote asociacijos proceso eismą.
Ką tai iš tikrųjų reiškia
Tai iš tikrųjų reiškia tai, kad WPA2-PSK nėra daug saugesnis nuo slapto pasiklausymo, jei jūs nepasitikite visiems tinkle. Namuose turėtumėte būti saugūs, nes jūsų "Wi-Fi" slaptafrazė yra slapta.
Tačiau jei jūs einate į kavinę ir naudojate WPA2-PSK, o ne atvirą "Wi-Fi" tinklą, galite jaustis kur kas saugesni jūsų privatumui. Bet jūs neturėtumėte - bet kas su kavos parduotuvės "Wi-Fi" slaptafraze galėtų stebėti jūsų naršymo srautą. Kiti žmonės tinkle arba kiti žmonės, turintys slaptažodžio frazę, galėtų stebėti srautą, jei norėtų.
Būtinai atsižvelgkite į tai. WPA2-PSK neleidžia žmonėms be prieigos prie tinklo iškraipyti. Tačiau, kai jie turi tinklo slaptafrazę, visi statymai yra išjungti.
Kodėl WPA2-PSK nesistengia tai sustabdyti?
"WPA2-PSK" iš tikrųjų stengiasi sustabdyti šį procesą, naudodamas "porinį pereinamąjį raktą" (PTK). Kiekvienas bevielis klientas turi unikalų PTK. Tačiau tai nepadeda daug, nes unikalus kiekvieno kliento raktas visada yra iš anksto pasidalijamo rakto ("Wi-Fi" slaptafrazė). Štai kodėl tai nereikšminga, norint užfiksuoti unikalų kliento raktą tol, kol turite Wi- Fi slaptafrazė ir gali užfiksuoti srautą, siunčiamą per asociacijos procesą.
WPA2-Enterprise išsprendžia tai … dideliems tinklams
Didelėms organizacijoms, kurios reikalauja saugių "Wi-Fi" tinklų, šį saugumo silpnumą galima išvengti naudojant EAP authenication su RADIUS serveriu, kartais vadinamu WPA2-Enterprise. Naudodami šią sistemą kiekvienas "Wi-Fi" klientas gauna tikrai unikalų raktą. "Wi-Fi" klientas neturi pakankamai informacijos, kad tik pradėtumėte "snooping" prie kito kliento, taigi tai užtikrina daug didesnį saugumą. Dėl šios priežasties didelės įmonės butai ar vyriausybinės agentūros turėtų naudoti WPA2-Enteprise.
Tačiau tai yra pernelyg sudėtinga ir sudėtinga daugumai žmonių - ar netgi daugelio geeksčių - naudotis namuose. Vietoj "Wi-FI" slaptafrazės turite įvesti įrenginius, kuriuos norite prisijungti, turėsite tvarkyti RADIUS serverį, kuris tvarko autentifikavimą ir raktų valdymą. Tai yra kur kas sudėtingiau namų vartotojams nustatyti.
Tiesą sakant, net neprieštarauja jūsų laiką, jei pasitikite visais jūsų "Wi-Fi" tinkle arba visiems, kurie gali pasiekti jūsų "Wi-Fi" slaptafrazę. Tai būtina tik tuo atveju, jei esate prisijungę prie WPA2-PSK užkoduotojo "Wi-Fi" tinklo viešojoje vietoje - kavinėje, oro uoste, viešbutyje ar net didesniame biure - kai kitiems žmonėms, kuriems nesate pasitikėti, taip pat turite "Wi- FI tinklo slaptafrazė.
Taigi, ar dangus nukrenta? Ne zinoma ne. Tačiau nepamirškite: kai prisijungiate prie WPA2-PSK tinklo, kiti žmonės, turintys prieigą prie šio tinklo, gali lengvai stebėti jūsų srautą.Nepaisant to, ką dauguma žmonių gali manyti, šis šifravimas nesuteikia apsaugos nuo kitų žmonių, turinčių prieigą prie tinklo.
Jei turite prisijungti prie slaptų svetainių viešajame "Wi-Fi" tinkle, ypač svetainėse, kuriose nenaudojamas "HTTPS" šifravimas, apsvarstykite tai naudodami VPN arba net SSH tunelį. WPA2-PSK šifravimas viešuose tinkluose nėra pakankamas.