Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
qifi.org: goed idee?
16-02-2020, 12:30 door Erik van Straten, 8 reacties
In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Reacties (8)
16-02-2020, 13:30 door
Anoniem
Je hoeft helemaal geen gebruik te maken van een externe website hiervoor als je niets vertrouwt.
Je hoeft alleen maar uit te zoeken wat de structuur is van de gemaakte QR codes, bijv je gaat even naar die site en je
laat een code maken voor een fake SSID en password en dan scan je die met een QR scanner die gewoon laat zien wat
er gescand is.
Vervolgens kun je dan zelf QR codes maken met een lokaal geinstalleerd programma waarvan je weet dat het niks doorstuurt.
Ik heb zelf toen we ooit nog Vasco tokens hadden die je als app op je mobiel kunt zetten een pagina op ons intranet gezet
waarmee je als user, ingelogd op het interne netwerk, zelf de QR code kon opvragen voor het aan jou toegekende Vasco
token. Zodat je dit zelf kon activeren op je telefoon.
Dat werkte prima en zonder enige externe service te gebruiken die evt de codes zou kunnen lekken. Ik gebruikte gewoon
een of ander standaard tool om QR codes te kunnen maken vanuit PHP.
Je hoeft alleen maar uit te zoeken wat de structuur is van de gemaakte QR codes, bijv je gaat even naar die site en je
laat een code maken voor een fake SSID en password en dan scan je die met een QR scanner die gewoon laat zien wat
er gescand is.
Vervolgens kun je dan zelf QR codes maken met een lokaal geinstalleerd programma waarvan je weet dat het niks doorstuurt.
Ik heb zelf toen we ooit nog Vasco tokens hadden die je als app op je mobiel kunt zetten een pagina op ons intranet gezet
waarmee je als user, ingelogd op het interne netwerk, zelf de QR code kon opvragen voor het aan jou toegekende Vasco
token. Zodat je dit zelf kon activeren op je telefoon.
Dat werkte prima en zonder enige externe service te gebruiken die evt de codes zou kunnen lekken. Ik gebruikte gewoon
een of ander standaard tool om QR codes te kunnen maken vanuit PHP.
16-02-2020, 13:41 door
Anoniem
Zoek eens op wat het payload-dataformaat van zo'n "wifi qr-code" is, en bouw eventueel je eigen javascript-in-mobiele-browser-app die hetzelfde doet.
Het probleem blijft altijd dat je niet precies weet wat zo'n derde partij uitvreet, maar in dit geval is het niet zo heel moeilijk om het zelf te doen.
Meer algemeen, hoe meer partijen makkelijk even "een app" inelkaar kunnen draaien en wijd verspreiden, hoe makkelijker er malafide rommel tussen kan zitten. Denk maar eens na over mogelijke mitigaties (en wat er dan gebeurt), danwel hoe je de noodzaak tot op derde partijen te moeten vertrouwen kan verminderen en ondervangen.
Het probleem blijft altijd dat je niet precies weet wat zo'n derde partij uitvreet, maar in dit geval is het niet zo heel moeilijk om het zelf te doen.
Meer algemeen, hoe meer partijen makkelijk even "een app" inelkaar kunnen draaien en wijd verspreiden, hoe makkelijker er malafide rommel tussen kan zitten. Denk maar eens na over mogelijke mitigaties (en wat er dan gebeurt), danwel hoe je de noodzaak tot op derde partijen te moeten vertrouwen kan verminderen en ondervangen.
16-02-2020, 14:43 door
Anoniem
Het idee om een QR code te hebben om wifi te configureren vindt ik wel goed. Zoals je zelf ook al aangeeft kan het daardoor veilig configureren zonder dat het tot gepruts op schermpjes leidt.
Of je qifi.org vertrouwd is natuurlijk een andere vraag. Ik heb net onzin ingevuld en daarnaast de "Network" tab van de firefox Web developer tools open gehad en er werd inderdaad niets verstuurd. Mocht je toch argwanen (wat ik me kan voorstellen) dan kan je:
1) Zelf de code van github downloaden en zelf hosten, desnoods op een verder airgapped pc
of
2) Andere (offline) tools gebruiken om een QR code met dezelfde inhoud te maken, zeker als je met tijdelijke passphrases wil werken is dat wel zo makkelijk denk ik
Of je qifi.org vertrouwd is natuurlijk een andere vraag. Ik heb net onzin ingevuld en daarnaast de "Network" tab van de firefox Web developer tools open gehad en er werd inderdaad niets verstuurd. Mocht je toch argwanen (wat ik me kan voorstellen) dan kan je:
1) Zelf de code van github downloaden en zelf hosten, desnoods op een verder airgapped pc
of
2) Andere (offline) tools gebruiken om een QR code met dezelfde inhoud te maken, zeker als je met tijdelijke passphrases wil werken is dat wel zo makkelijk denk ik
16-02-2020, 16:47 door
linux4
Ik zie het probleem niet zo 1,2,3. Stel de website kopieert jouw SSID en wachtwoord dan nog is het alleen bruikbaar op een locatie die men waarschijnlijk niet kan achterhalen. En als je dan zo dom bent je hele adres in je SSID te zetten dan moeten de eigenaren van de website eerst naar Nederland vliegen om jouw Wifi te misbruiken. Kortom...
16-02-2020, 19:39 door
Anoniem
Mocht je op zoek gaan naar het data formaat voor zo'n wifi QR code, wikipedia weet uiteraard het antwoord:
https://en.wikipedia.org/wiki/QR_code#Wi-Fi_network_login
https://en.wikipedia.org/wiki/QR_code#Wi-Fi_network_login
16-02-2020, 20:34 door
Anoniem
Door Erik van Straten: In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.
Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.
Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").
Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.
Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.
Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Interessant.
Ik lees net dat Android Q (10) de optie heeft (in het OS) om een Wifi code als QR te sharen.
https://www.androidauthority.com/android-q-wifi-qr-code-965569/
Dat is makkelijk als de Wifi code al in één device zit - en als standaard OS feature m.i. net wat meer vertrouwd dan een willekeurige app van een appstore.
De qifi.org code zegt puur javascript te zijn (en beschikbaar op github), dus als je ietwat paranoide bent kun je die zelf/offline/bedrijfsportal draaien in plaats van bij qifi.
In bedrijfs/horeca settings zou ik denk ik een geplastificeerd papier neer leggen als service met QR (+ leesbare) SSID/pw voor gastennetwerken e.d.
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
17-02-2020, 10:34 door
Anoniem
Door Anoniem:
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
17-02-2020, 12:27 door
Erik van Straten
Door Anoniem: En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
Bij het wijzigen van een wachtwoord is dat zinvol: als er maar 1 veld zou zijn en je maakt een tikfout, kun je niet meer inloggen. Bovendien zou 2x intikken ertoe kunnen leiden dat je jouw nieuwe wachtwoord beter onthoudt, maar dat zal vast niet voor iedereen gelden.Waar dat goed voor is??
Bovendien zijn die 2 velden alleen maar irritant als je een wachtwoordmanager gebruikt (en het wachtwoord random hebt laten genereren), en helemaal als copy/paste niet werkt. Nb. van mij mogen alle loginschermen een "advanced" button hebben met een "use at your own risk" disclaimer plus toelichting, waarbij het invullen van 1 wachtwoordveld volstaat en copy/paste wel werkt.
Bij inlogschermen kom ik zelden of nooit twee wachtwoordvelden tegen (wellicht op phishingpagina's waar cybercriminelen zeker willen weten dat je ze een foutloos wachtwoord geeft, en je tevens proberen af te leiden van bijv. de domeinnaam: hoe meer je in moet vullen, hoe meer geïrriteerd en gehaast je raakt - en daardoor geneigd kunt zijn om minder goed op te letten aan wie je die gegevens verstrekt).
Heb je voorbeelden van inlog-scenario's waar je 2x jouw wachtwoord moet intikken?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.