Еще несколько лет назад заметил, что во Франции очень популярны весьма странные, на мой взгляд, средства сетевой безопасности: пароли из 16-20 буквенно-цифровых символов на WPA2 домашних WiFi-сетей, и принудительный ввод идентификаторов/паролей при помощи экранных клавиатур.
Пароли такой абсурдной длины предустанавливаются в маршрутизаторах всех интернет-провайдеров (Orange, SFR, Free, Boygues). Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.
С виртуальными клавиатурами вообще чехарда. Например, La Banque Postale позволяет ввести идентификатор обычным текстом (то есть — можно вставить сохраненный, не парясь с набором), а вот Free, при доступе к личному кабинету мобильного подключения, наоборот, требует натыкивать именно идентификатор (который никак не связан с номером), а пароль можно и вставить сохраненный.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, BurningInside, Вы писали:
BI>>Понимаешь неправильно
ЕМ>А точнее?
перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе, а из 16 цифр будет подбираться сотни лет.
Підтримати Україну у боротьбі з країною-терористом.
Здравствуйте, #John, Вы писали:
J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе
А каким образом проверять, подходит ли очередной вариант к сети?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Еще несколько лет назад заметил, что во Франции очень популярны весьма странные, на мой взгляд, средства сетевой безопасности: пароли из 16-20 буквенно-цифровых символов на WPA2 домашних WiFi-сетей, и принудительный ввод идентификаторов/паролей при помощи экранных клавиатур.
ЕМ>Пароли такой абсурдной длины предустанавливаются в маршрутизаторах всех интернет-провайдеров (Orange, SFR, Free, Boygues). Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.
Вообще-то нет. На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера. Вот 12 символов уже хватит.
ЕМ>С виртуальными клавиатурами вообще чехарда. Например, La Banque Postale позволяет ввести идентификатор обычным текстом (то есть — можно вставить сохраненный, не парясь с набором), а вот Free, при доступе к личному кабинету мобильного подключения, наоборот, требует натыкивать именно идентификатор (который никак не связан с номером), а пароль можно и вставить сохраненный.
ЕМ>Однако, тот же Free при доступе к личному кабинету фиксированного подключения, предлагает обычные текстовые поля для ввода и идентификатора, и пароля.
Видимо недоработки. Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль. По-мне это ненужная перестраховка, если уж кейлоггер пишет, то и снимки экрана под щелчками мыши записать не ахти какая задача. А неудобства пользователю доставляет ощутимые.
ЕМ>С таким абсурдом я сталкиваюсь только во Франции. В других странах такое встречается, или это известные французские самость и консерватизм?
Здравствуйте, vsb, Вы писали:
vsb>На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера.
Не просто дорогой, а заведомо бессмысленный для наперед неизвестного домашнего роутера. А ежели у кого в домашней сети есть что-то, оправдывающее такой взлом, то ему и карты в руки.
vsb>Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль.
Так на всех вменяемых сайтах их отображают по запросу, а не в обязаловку.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, vsb, Вы писали:
vsb>>На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера.
ЕМ>Не просто дорогой, а заведомо бессмысленный для наперед неизвестного домашнего роутера.
Ну тут уже модель угроз надо строить. Проще задать 12 символов и знать, что его разве что гугл всем своим кластером взломает.
vsb>>Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль.
ЕМ>Так на всех вменяемых сайтах их отображают по запросу, а не в обязаловку.
Ну я видел в банковских сайтах такое, для ввода пин-кодов. Там вроде обязаловка была, ещё и цифры местами путали, видимо чтобы только координат не хватило.
Здравствуйте, vsb, Вы писали:
vsb>Проще задать 12 символов и знать, что его разве что гугл всем своим кластером взломает.
Ну вот вменяемые производители маршрутизаторов так и делают. И только французы упорно ставят по 20.
vsb>Ну я видел в банковских сайтах такое, для ввода пин-кодов. Там вроде обязаловка была, ещё и цифры местами путали, видимо чтобы только координат не хватило.
У французов везде, где видел, тоже путают. И везде в обязаловку. Вот и интересно стало — это хоть как-то снижает реальные риски? По-моему, типичному юзеру куда проще подсунуть ложный портал с такой же путаной клавиатурой, и он преспокойно настучит на ней свой пароль.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, #John, Вы писали:
J>>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе
ЕМ>А каким образом проверять, подходит ли очередной вариант к сети?
При первом подключении к домашнему роутеру, роутер и клиент с помощью пароля создают ключи которыми каждый из них в дальнейшем будет шифровать трафик в сети. При аутентификации эти ключи перехватываются и все что нам остается — просто сгенерировать готовый словарь возможных паролей и попробовать с его помощью расшифровать эти ключи локально на своем компе.
Підтримати Україну у боротьбі з країною-терористом.
Здравствуйте, #John, Вы писали:
J>https://eprint.iacr.org/2016/547.pdf J>вот тут в статье показываются расчеты сколько понадобится времени на подбор wifi пароля.
Для 8-символьного буквенно-цифрового (даже в одном регистре) понадобится около двух лет на GeForce. Где там сутки?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Для 8-символьного буквенно-цифрового (даже в одном регистре) понадобится около двух лет на GeForce. Где там сутки?
Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов и обязательно уникальное название сети. Для подробностей есть поиск Гугла по теме, тут только умеют выяснять, кто умнее, ничего другого делать не умеют.
Здравствуйте, BurningInside, Вы писали:
BI>Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов
А точнее? Если поставлю 24 — безопасности не будет?
BI>и обязательно уникальное название сети.
Уникальное в какой области, и на какой момент? Если я сегодня поставлю название, отличающееся от названий всех доступных сетей — что может помешать завтра кому-то поставить у себя такое же?
BI>Для подробностей есть поиск Гугла по теме, тут только умеют выяснять, кто умнее, ничего другого делать не умеют.
Ну, коли Вы умеете больше — поделитесь хотя бы намеками. Гугл мне пока особо ничего сверх известного не сообщил.
J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе, а из 16 цифр будет подбираться сотни лет.
Это если сначала получить дамп прошивки роутера или для каждой попытки делая запрос по сети и получая каждый раз ответ после таймаута для неверного пароля?
Здравствуйте, #John, Вы писали:
J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе,
Нельзя. 26(букв)x2+35(.,;*&^%$#@!-=+|\}{"'`0123456789[])=87 символов
87 в восьмой степени = 3282116715437121
Скорость перебора WPA2 хэшей на одной видеоплате Nvidia GF1080ti для WPA/WPA2 по данным https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
где-то около 400 тысяч в секунду. В сутках 86400 секунд. То есть, 3282116715437121/400000/86400 = 94968 суток. Или 260 лет. Ну пусть даже 4-8 лет на чьей-то фермочке.
Так что правильный 8-символьный WPA2 пароль вполне устойчив к бытовому перебору. За сутки его взломать может только кто-то с ресурсами в сотню тысяч вычислительных устройств класса GF1080ti. Такие конторы конечно есть, вот только тратить свои мощности (а значит и деньги) на подобные вещи не станут. Даже если использовать только маленькие буквы и цифры получится на перебор нужно больше 80 дней, чего уже конечно явно недостаточно, но для бытовых целей тоже сошло бы.
J> а из 16 цифр будет подбираться сотни лет.
Тут другое. Юзеры правильный случайный пароль не установят, поэтому перестраховываются, чтобы сохранить стойкость.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, BurningInside, Вы писали:
BI>>Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов
ЕМ>А точнее? Если поставлю 24 — безопасности не будет?
Проблема бытового Wi-Fi в том, что на самом деле какой бы длинны пароль ты не поставил, он совершенно не гарантирует невзламываемости из-за фундаментальных недостатков самого протокола WPA2. Не таких как в свое время у WEP, но тем не менее. В частности, клиентом не идентифицируется база, а только клиент базой. Таких недостатков лишен протокол WPA Enterprise, но это сильно не бытовое решение, так как требует развертывания сервера авторизации. Сейчас продвигается намного более защищенный стандарт WPA3.
В настоящий момент, если действительно волнует безопасность с WPA2, надо делать VPN под ним, так чтобы даже в случае взлома Wi-Fi, канал остался закрытым и к нему нельзя было подключиться.
Здравствуйте, Michael7, Вы писали:
M>Проблема бытового Wi-Fi в том, что на самом деле какой бы длинны пароль ты не поставил, он совершенно не гарантирует невзламываемости из-за фундаментальных недостатков самого протокола WPA2.
Самая большая проблема бытового WiFi — в том, что за ним в 95% случаев (если не чаще) сидят хомячки, которых проще и надежнее развести способами, отличными от брутфорса пароля на высокопроизводительном железе.
Здравствуйте, Michael7, Вы писали:
M> Нельзя. 26(букв)x2+35(.,;*&^%$#@!-=+|\}{"'`0123456789[])=87 символов M> 87 в восьмой степени = 3282116715437121 M> Скорость перебора WPA2 хэшей на одной видеоплате Nvidia GF1080ti для WPA/WPA2 по данным https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 M> где-то около 400 тысяч в секунду. В сутках 86400 секунд. То есть, 3282116715437121/400000/86400 = 94968 суток. Или 260 лет. Ну пусть даже 4-8 лет на чьей-то фермочке.