Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 02.01.19 14:34
Оценка:
Еще несколько лет назад заметил, что во Франции очень популярны весьма странные, на мой взгляд, средства сетевой безопасности: пароли из 16-20 буквенно-цифровых символов на WPA2 домашних WiFi-сетей, и принудительный ввод идентификаторов/паролей при помощи экранных клавиатур.

Пароли такой абсурдной длины предустанавливаются в маршрутизаторах всех интернет-провайдеров (Orange, SFR, Free, Boygues). Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.

С виртуальными клавиатурами вообще чехарда. Например, La Banque Postale позволяет ввести идентификатор обычным текстом (то есть — можно вставить сохраненный, не парясь с набором), а вот Free, при доступе к личному кабинету мобильного подключения, наоборот, требует натыкивать именно идентификатор (который никак не связан с номером), а пароль можно и вставить сохраненный.

Однако, тот же Free при доступе к личному кабинету фиксированного подключения, предлагает обычные текстовые поля для ввода и идентификатора, и пароля.

С таким абсурдом я сталкиваюсь только во Франции. В других странах такое встречается, или это известные французские самость и консерватизм?
идентификатор пароль виртуальная клавиатура wpa2 wifi личный кабинет
Re: Реальные и мнимые средства безопасности
От: BurningInside Россия  
Дата: 02.01.19 16:16
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.


Понимаешь неправильно
Re[2]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 02.01.19 17:12
Оценка:
Здравствуйте, BurningInside, Вы писали:

BI>Понимаешь неправильно


А точнее?
Re[3]: Реальные и мнимые средства безопасности
От: #John Европа https://github.com/ichensky
Дата: 03.01.19 07:01
Оценка: +1 -1
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Здравствуйте, BurningInside, Вы писали:


BI>>Понимаешь неправильно


ЕМ>А точнее?

перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе, а из 16 цифр будет подбираться сотни лет.
Підтримати Україну у боротьбі з країною-терористом.

https://prytulafoundation.org/
https://u24.gov.ua/

Слава Збройним Силам України!!! Героям слава!!!
Re[4]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 03.01.19 10:28
Оценка:
Здравствуйте, #John, Вы писали:

J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе


А каким образом проверять, подходит ли очередной вариант к сети?
Re: Реальные и мнимые средства безопасности
От: vsb Казахстан  
Дата: 03.01.19 11:07
Оценка: +1 -1
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Еще несколько лет назад заметил, что во Франции очень популярны весьма странные, на мой взгляд, средства сетевой безопасности: пароли из 16-20 буквенно-цифровых символов на WPA2 домашних WiFi-сетей, и принудительный ввод идентификаторов/паролей при помощи экранных клавиатур.


ЕМ>Пароли такой абсурдной длины предустанавливаются в маршрутизаторах всех интернет-провайдеров (Orange, SFR, Free, Boygues). Насколько я понимаю, 16-20-символьный пароль в домашней сети дает совершенно ничтожное повышение теоретической безопасности по сравнению с 8-символьным.


Вообще-то нет. На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера. Вот 12 символов уже хватит.

ЕМ>С виртуальными клавиатурами вообще чехарда. Например, La Banque Postale позволяет ввести идентификатор обычным текстом (то есть — можно вставить сохраненный, не парясь с набором), а вот Free, при доступе к личному кабинету мобильного подключения, наоборот, требует натыкивать именно идентификатор (который никак не связан с номером), а пароль можно и вставить сохраненный.


ЕМ>Однако, тот же Free при доступе к личному кабинету фиксированного подключения, предлагает обычные текстовые поля для ввода и идентификатора, и пароля.


Видимо недоработки. Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль. По-мне это ненужная перестраховка, если уж кейлоггер пишет, то и снимки экрана под щелчками мыши записать не ахти какая задача. А неудобства пользователю доставляет ощутимые.

ЕМ>С таким абсурдом я сталкиваюсь только во Франции. В других странах такое встречается, или это известные французские самость и консерватизм?


В Казахстане такого нет.
Re[2]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 03.01.19 11:54
Оценка:
Здравствуйте, vsb, Вы писали:

vsb>На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера.


Не просто дорогой, а заведомо бессмысленный для наперед неизвестного домашнего роутера. А ежели у кого в домашней сети есть что-то, оправдывающее такой взлом, то ему и карты в руки.

vsb>Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль.


Так на всех вменяемых сайтах их отображают по запросу, а не в обязаловку.
Re[3]: Реальные и мнимые средства безопасности
От: vsb Казахстан  
Дата: 03.01.19 11:56
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Здравствуйте, vsb, Вы писали:


vsb>>На 6 видеокартах 8-символный пароль взламывается за 3 года. Т.е. шанс взлома абсолютно реальный, хоть и дорогой для домашнего роутера.


ЕМ>Не просто дорогой, а заведомо бессмысленный для наперед неизвестного домашнего роутера.


Ну тут уже модель угроз надо строить. Проще задать 12 символов и знать, что его разве что гугл всем своим кластером взломает.

vsb>>Вообще смысл виртуальных клавиатур в том, чтобы кейлоггеры не записали пароль.


ЕМ>Так на всех вменяемых сайтах их отображают по запросу, а не в обязаловку.


Ну я видел в банковских сайтах такое, для ввода пин-кодов. Там вроде обязаловка была, ещё и цифры местами путали, видимо чтобы только координат не хватило.
Re[4]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 03.01.19 12:17
Оценка:
Здравствуйте, vsb, Вы писали:

vsb>Проще задать 12 символов и знать, что его разве что гугл всем своим кластером взломает.


Ну вот вменяемые производители маршрутизаторов так и делают. И только французы упорно ставят по 20.

vsb>Ну я видел в банковских сайтах такое, для ввода пин-кодов. Там вроде обязаловка была, ещё и цифры местами путали, видимо чтобы только координат не хватило.


У французов везде, где видел, тоже путают. И везде в обязаловку. Вот и интересно стало — это хоть как-то снижает реальные риски? По-моему, типичному юзеру куда проще подсунуть ложный портал с такой же путаной клавиатурой, и он преспокойно настучит на ней свой пароль.
Re[5]: Реальные и мнимые средства безопасности
От: #John Европа https://github.com/ichensky
Дата: 03.01.19 12:28
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Здравствуйте, #John, Вы писали:


J>>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе


ЕМ>А каким образом проверять, подходит ли очередной вариант к сети?


При первом подключении к домашнему роутеру, роутер и клиент с помощью пароля создают ключи которыми каждый из них в дальнейшем будет шифровать трафик в сети. При аутентификации эти ключи перехватываются и все что нам остается — просто сгенерировать готовый словарь возможных паролей и попробовать с его помощью расшифровать эти ключи локально на своем компе.
Підтримати Україну у боротьбі з країною-терористом.

https://prytulafoundation.org/
https://u24.gov.ua/

Слава Збройним Силам України!!! Героям слава!!!
Re[5]: Реальные и мнимые средства безопасности
От: #John Европа https://github.com/ichensky
Дата: 03.01.19 12:32
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

https://eprint.iacr.org/2016/547.pdf
вот тут в статье показываются расчеты сколько понадобится времени на подбор wifi пароля.
Підтримати Україну у боротьбі з країною-терористом.

https://prytulafoundation.org/
https://u24.gov.ua/

Слава Збройним Силам України!!! Героям слава!!!
Re[6]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 03.01.19 13:10
Оценка:
Здравствуйте, #John, Вы писали:

J>https://eprint.iacr.org/2016/547.pdf

J>вот тут в статье показываются расчеты сколько понадобится времени на подбор wifi пароля.

Для 8-символьного буквенно-цифрового (даже в одном регистре) понадобится около двух лет на GeForce. Где там сутки?
Re[7]: Реальные и мнимые средства безопасности
От: BurningInside Россия  
Дата: 03.01.19 15:16
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Для 8-символьного буквенно-цифрового (даже в одном регистре) понадобится около двух лет на GeForce. Где там сутки?


Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов и обязательно уникальное название сети. Для подробностей есть поиск Гугла по теме, тут только умеют выяснять, кто умнее, ничего другого делать не умеют.
Re[8]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 03.01.19 17:48
Оценка:
Здравствуйте, BurningInside, Вы писали:

BI>Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов


А точнее? Если поставлю 24 — безопасности не будет?

BI>и обязательно уникальное название сети.


Уникальное в какой области, и на какой момент? Если я сегодня поставлю название, отличающееся от названий всех доступных сетей — что может помешать завтра кому-то поставить у себя такое же?

BI>Для подробностей есть поиск Гугла по теме, тут только умеют выяснять, кто умнее, ничего другого делать не умеют.


Ну, коли Вы умеете больше — поделитесь хотя бы намеками. Гугл мне пока особо ничего сверх известного не сообщил.
Re[4]: Реальные и мнимые средства безопасности
От: Masterspline  
Дата: 04.01.19 04:42
Оценка:
J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе, а из 16 цифр будет подбираться сотни лет.

Это если сначала получить дамп прошивки роутера или для каждой попытки делая запрос по сети и получая каждый раз ответ после таймаута для неверного пароля?
Re[4]: Реальные и мнимые средства безопасности
От: Michael7 Россия  
Дата: 05.01.19 15:23
Оценка:
Здравствуйте, #John, Вы писали:

J>перебором 8ми символьный пароль из букв, цифр, символов можно подобрать меньше чем за сутки на обычном домашнем компе,


Нельзя. 26(букв)x2+35(.,;*&^%$#@!-=+|\}{"'`0123456789[])=87 символов
87 в восьмой степени = 3282116715437121
Скорость перебора WPA2 хэшей на одной видеоплате Nvidia GF1080ti для WPA/WPA2 по данным https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
где-то около 400 тысяч в секунду. В сутках 86400 секунд. То есть, 3282116715437121/400000/86400 = 94968 суток. Или 260 лет. Ну пусть даже 4-8 лет на чьей-то фермочке.

Так что правильный 8-символьный WPA2 пароль вполне устойчив к бытовому перебору. За сутки его взломать может только кто-то с ресурсами в сотню тысяч вычислительных устройств класса GF1080ti. Такие конторы конечно есть, вот только тратить свои мощности (а значит и деньги) на подобные вещи не станут. Даже если использовать только маленькие буквы и цифры получится на перебор нужно больше 80 дней, чего уже конечно явно недостаточно, но для бытовых целей тоже сошло бы.

J> а из 16 цифр будет подбираться сотни лет.


Тут другое. Юзеры правильный случайный пароль не установят, поэтому перестраховываются, чтобы сохранить стойкость.
Re[9]: Реальные и мнимые средства безопасности
От: Michael7 Россия  
Дата: 05.01.19 15:37
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Здравствуйте, BurningInside, Вы писали:


BI>>Если тебе важна безопасность по вайфаю, ставь пароль не меньше 25 символов


ЕМ>А точнее? Если поставлю 24 — безопасности не будет?


Проблема бытового Wi-Fi в том, что на самом деле какой бы длинны пароль ты не поставил, он совершенно не гарантирует невзламываемости из-за фундаментальных недостатков самого протокола WPA2. Не таких как в свое время у WEP, но тем не менее. В частности, клиентом не идентифицируется база, а только клиент базой. Таких недостатков лишен протокол WPA Enterprise, но это сильно не бытовое решение, так как требует развертывания сервера авторизации. Сейчас продвигается намного более защищенный стандарт WPA3.

В настоящий момент, если действительно волнует безопасность с WPA2, надо делать VPN под ним, так чтобы даже в случае взлома Wi-Fi, канал остался закрытым и к нему нельзя было подключиться.
Re[10]: Реальные и мнимые средства безопасности
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 05.01.19 17:08
Оценка:
Здравствуйте, Michael7, Вы писали:

M>Проблема бытового Wi-Fi в том, что на самом деле какой бы длинны пароль ты не поставил, он совершенно не гарантирует невзламываемости из-за фундаментальных недостатков самого протокола WPA2.


Самая большая проблема бытового WiFi — в том, что за ним в 95% случаев (если не чаще) сидят хомячки, которых проще и надежнее развести способами, отличными от брутфорса пароля на высокопроизводительном железе.
Re[5]: Реальные и мнимые средства безопасности
От: rudzuk  
Дата: 05.01.19 20:28
Оценка:
Здравствуйте, Michael7, Вы писали:

M> Нельзя. 26(букв)x2+35(.,;*&^%$#@!-=+|\}{"'`0123456789[])=87 символов

M> 87 в восьмой степени = 3282116715437121
M> Скорость перебора WPA2 хэшей на одной видеоплате Nvidia GF1080ti для WPA/WPA2 по данным https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
M> где-то около 400 тысяч в секунду. В сутках 86400 секунд. То есть, 3282116715437121/400000/86400 = 94968 суток. Или 260 лет. Ну пусть даже 4-8 лет на чьей-то фермочке.

Ты как-то очень оптимистичненько посчитал. Согласно https://ru.wikipedia.org/wiki/%D0%A1%D0%BB%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F даже при 95-символьном алфавите энтропия на символ у случайного пароля составляет 6.5 бит, т.о. у 8-символьного пароля она будет всего 52 бита. Пароли с энтропией меньше 80 бит считаются ненадежными.
avalon/2.0.6
Re[6]: Реальные и мнимые средства безопасности
От: rudzuk  
Дата: 05.01.19 20:40
Оценка:
Здравствуйте, rudzuk, Вы писали:

Не, я попутал. С таким алфавитом и восьмисимвольным случайным паролем вариантов будет 2^52. С указанной скоростью перебора нефиг ловить.
avalon/2.0.6
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.