WPA nog steeds voldoende voor WiFi-netwerk
Eigenaren van een draadloos netwerk met WPA-beveiliging hoeven zich geen zorgen te maken dat hackers binnenkort via hun access point surfen. Vorige week liet het Russische ElcomSoft weten dat het dankzij de kracht van videokaarten WPA en WPA2 sleutels honderd keer sneller kan kraken. Volgens een beveiliger betekende dit zelfs dat WPA/WPA2 overbodig is geworden en iedereen op VPN's moet overstappen. Beveiligingsexpert Robert Graham maakt zich geen zorgen. "Op z'n hoogst betekent dit dat je één extra karakter aan je WPA wachtwoord moet toevoegen om hetzelfde niveau van veiligheid te bereiken."
Het kraken van wachtwoorden is exponentieel, waardoor elk extra karakter in een wachtwoord betekent dat het honderd keer lastiger te kraken is, ervan uitgaande dat cijfers, symbolen, hoofd en kleine letters gebruikt worden. Graham verwacht daarnaast niet dat wachtwoordkrakers massaal Nvidia videokaarten zullen inslaan, aangezien het voordeliger en sneller is om in FPGAs te investeren.
"Je kunt WPA wachtwoorden alleen kraken als iedereen op hetzelfde netwerk hetzelfde wachtwoord gebruikt, via pre-shared keys (PSK). Bedrijven die via RADIUS of EAP verschillende wachtwoorden aan verschillende mensen geven zijn niet kwetsbaar voor dit soort aanvallen. Als thuisgebruikers paranoïde zijn, dan kunnen ze een RADIUS server installeren." George Ou is het helemaal met Graham eens en adviseert gebruikers en bedrijven om niet op een VPN over te stappen. "VPN is nooit de juiste oplossing voor WLAN security geweest. Negeer de 'experts' en bedrijven die je een nieuwe oplossing proberen te verkopen, die in de eerste plaats al niet zinnig is en gebruik je gezonde verstand."
Botnet power
Volgens Graham zijn wachtwoordkrakers goed in het achterhalen op welke manier mensen wachtwoorden kiezen. "Als je iets kiest zoals 'Gordeldier*Zebra', dan zal je wachtwoord snel gekraakt worden. Je WPA wachtwoord moet zowel lang als complex zijn." Toch maakt hij zich zorgen over wachtwoordkrakers zoals die van ElcomSoft. Niet omdat het de GPU gebruikt, maar vanwege de gedistribueerde verwerking. Alle computers in een netwerk, of botnet, zouden kunnen meewerken aan het kraken van één WPA-wachtwoord. "Weinig mensen investeren in hardware voor alleen het kraken van een wachtwoord, maar veel bedrijven hebben rekenkracht over die ze kunnen gebruiken. Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."
Niks om je als thuis gebruiker zorgen over te maken dus. (bedrijven met WPA Enterprise hoeven dat al helemaal niet)
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Ik krijg het idee dat men vaak maar wat roept om de aandacht te trekken.
Misschien weet eigenlijk niemand hoe de zaken nu precies in elkaar steken.
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Hear hear !!! ;)
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Zoals de schrijver al opmerkte: gezond verstand en een kritische houding zijn het belangrijkst.
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.
_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.
_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
het gaat over de beveiliging van een netwerkprotocol, en de evt kraakbaarheid daarvan dmv nvidia videokaarten...
"nee, mensen in de waan laten dat ze veilig zijn, dat is bevorderlijk voor de algehele veiligheid"
gerefereerd, met fpga processoren kan je hashes genereren waarmee je wel
degelijk veel sneller wpa keys kan kraken. Zijn bedrijf levert apparatuur
waarmee een en ander gekraakt zou kunnen worden.
http://www.picocomputing.com/products/supercluster.php
Je hebt helemaal gelijk.
Het punt is, dat je met een gigantisch botnet een jaar (zoniet langer) bezig bent om een 1024 bits RSA-sleutel te kraken. Doorgaans loont het de moeite niet moderne crypto te brute-forcen. En dat is maar goed ook, want de kracht van moderne crypto zit hem daar juist in.
Er is een liedje geschreven over juist dat uitgangspunt. Het is ten gehore gebracht op het feest ter gelegenheid van het verlopen van het patent op het RSA-algoritme.
Superpolynomial subexponential runtimes.
Even though in practice it would take you several lifetimes,
If you ran it long enough you'd always find those two primes.
Superpolynomial subexponential runtimes
E to the root-log root-log-log [4x]
When I was but a naive lad first coding two's and three's
I thought the only "orders of" were trivialities.
But when I saw this function something opened up to me
The elegance of computational complexity.
[Chorus]
I was at a meeting when up came a man in black
Who told me that his agency had mounted an attack.
Convincing him was fruitless that his budget would collapse
All I know his trumpeter will soon be playing Taps.
[Chorus]
In virtual environments has grown up a debate
Of whether strong cryptography can overthrow the state.
But several such technologies including public key
Shall herald in the coming age of crypto-anarchy.
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Bron: http://hpaste.org/2296 (kan geen directere bron vinden)
Robert Graham: "Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."
Zoals ook al enkele mensen op Grahams blog noemden:
http://code.google.com/p/pyrit/
Echt zorgwekkend is een class-break. Dit is (voorlopig) gewoon snellere brute-force.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.