Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

qifi.org: goed idee?

Reageer met quote
16-02-2020, 12:30 door Erik van Straten, 18 reacties
In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.

Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.

Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.

Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").

Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.

Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.

Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?
Problemen met KB4524244 (het is weer zover!)
Juridische vraag: blokkeren computer
Reacties (18)
Reageer met quote
16-02-2020, 13:30 door Anoniem
Je hoeft helemaal geen gebruik te maken van een externe website hiervoor als je niets vertrouwt.
Je hoeft alleen maar uit te zoeken wat de structuur is van de gemaakte QR codes, bijv je gaat even naar die site en je
laat een code maken voor een fake SSID en password en dan scan je die met een QR scanner die gewoon laat zien wat
er gescand is.
Vervolgens kun je dan zelf QR codes maken met een lokaal geinstalleerd programma waarvan je weet dat het niks doorstuurt.

Ik heb zelf toen we ooit nog Vasco tokens hadden die je als app op je mobiel kunt zetten een pagina op ons intranet gezet
waarmee je als user, ingelogd op het interne netwerk, zelf de QR code kon opvragen voor het aan jou toegekende Vasco
token. Zodat je dit zelf kon activeren op je telefoon.
Dat werkte prima en zonder enige externe service te gebruiken die evt de codes zou kunnen lekken. Ik gebruikte gewoon
een of ander standaard tool om QR codes te kunnen maken vanuit PHP.
Reageer met quote
16-02-2020, 13:41 door Anoniem
Zoek eens op wat het payload-dataformaat van zo'n "wifi qr-code" is, en bouw eventueel je eigen javascript-in-mobiele-browser-app die hetzelfde doet.

Het probleem blijft altijd dat je niet precies weet wat zo'n derde partij uitvreet, maar in dit geval is het niet zo heel moeilijk om het zelf te doen.

Meer algemeen, hoe meer partijen makkelijk even "een app" inelkaar kunnen draaien en wijd verspreiden, hoe makkelijker er malafide rommel tussen kan zitten. Denk maar eens na over mogelijke mitigaties (en wat er dan gebeurt), danwel hoe je de noodzaak tot op derde partijen te moeten vertrouwen kan verminderen en ondervangen.
Reageer met quote
16-02-2020, 14:43 door Anoniem
Het idee om een QR code te hebben om wifi te configureren vindt ik wel goed. Zoals je zelf ook al aangeeft kan het daardoor veilig configureren zonder dat het tot gepruts op schermpjes leidt.

Of je qifi.org vertrouwd is natuurlijk een andere vraag. Ik heb net onzin ingevuld en daarnaast de "Network" tab van de firefox Web developer tools open gehad en er werd inderdaad niets verstuurd. Mocht je toch argwanen (wat ik me kan voorstellen) dan kan je:
1) Zelf de code van github downloaden en zelf hosten, desnoods op een verder airgapped pc
of
2) Andere (offline) tools gebruiken om een QR code met dezelfde inhoud te maken, zeker als je met tijdelijke passphrases wil werken is dat wel zo makkelijk denk ik
Reageer met quote
16-02-2020, 16:47 door linux4
Ik zie het probleem niet zo 1,2,3. Stel de website kopieert jouw SSID en wachtwoord dan nog is het alleen bruikbaar op een locatie die men waarschijnlijk niet kan achterhalen. En als je dan zo dom bent je hele adres in je SSID te zetten dan moeten de eigenaren van de website eerst naar Nederland vliegen om jouw Wifi te misbruiken. Kortom...
Reageer met quote
16-02-2020, 19:39 door Anoniem
Mocht je op zoek gaan naar het data formaat voor zo'n wifi QR code, wikipedia weet uiteraard het antwoord:
https://en.wikipedia.org/wiki/QR_code#Wi-Fi_network_login
Reageer met quote
16-02-2020, 20:34 door Anoniem
Door Erik van Straten: In https://www.zdnet.com/article/how-to-easily-share-your-wi-fi-network-with-iphones-and-ipads-and-with-a-bit-more-hassle-android-devices-too/ las ik over https://qifi.org/.

Laatstgenoemde site genereert, op basis van het door jou in te voeren Wi-Fi SSID en password, een QR-code die jouw gasten kunnen scannen met hun smartphone (naar verluidt word de QR-code in jouw browser gegenereerd en wordt er geen gevoelige info naar de website gelekt). Daarna kun je de QR-code bijvoorbeeld afdrukken of vanaf het scherm laten scannen.

Als een QR-code scanner op een smartphone geen rechten heeft om Wi-Fi instellingen te wijzigen (zoals de privacy friendly QR-Scanner, https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner), kun je in elk geval kopiëren en plakken - en hoef je niet te tikken op een onhandig klein schermtoetsenbordje.

Een voordeel dat ik zie is dat (veilige) lange Wi-Fi wachtwoorden niet tot veel verzet hoeven te leiden (je kunt ze zelfs random laten genereren, i.p.v. dat je nog redelijkerwijs kunt intikken - zoals "OostW3stGeenDadenM@@rK1ppen").

Nadelen zijn dat je nooit 100% zeker weet of je qifi.org kunt vertrouwen (vandaag wellicht, maar morgen?) en datzelfde geldt voor QR-code scanners, die behalve "naar huis bellen" ook foto's op een toestel kunnen laten slingeren. De eigenaar zou zelfs bewust zo'n plaatje op z'n smartphone kunnen bewaren, zodat anderen makkelijk kunnen scannen.

Daarbij kan deze truc natuurlijk ook in bedrijven (MKB bijv., waaronder winkels) worden gebruikt door iedereen die het Wi-Fi wachtwoord kent (d.w.z. WLAN's waarbij geen enterprise-Wi-Fi wordt gebruikt). Waarbij allerlei systemen (beveiliging, kassa's wellicht) via Wi-Fi kunnen zijn gekoppeld.

Kortom, ik zie voor- en nadelen. Wat zijn de meningen van bezoekers van security.nl hierover?

Interessant.

Ik lees net dat Android Q (10) de optie heeft (in het OS) om een Wifi code als QR te sharen.
https://www.androidauthority.com/android-q-wifi-qr-code-965569/
Dat is makkelijk als de Wifi code al in één device zit - en als standaard OS feature m.i. net wat meer vertrouwd dan een willekeurige app van een appstore.

De qifi.org code zegt puur javascript te zijn (en beschikbaar op github), dus als je ietwat paranoide bent kun je die zelf/offline/bedrijfsportal draaien in plaats van bij qifi.

In bedrijfs/horeca settings zou ik denk ik een geplastificeerd papier neer leggen als service met QR (+ leesbare) SSID/pw voor gastennetwerken e.d.

In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.
Reageer met quote
17-02-2020, 10:34 door Anoniem
Door Anoniem:
In elk geval makkelijk - rare karakter entry op mobiele toetsenborden is al irritant (omschakelen naar volgende veld), en het gezeik dat een password-achtig veld meteen met bolletjes overschreven wordt maakt het nog extra moeilijk.

En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
Reageer met quote
17-02-2020, 12:27 door Erik van Straten
Door Anoniem: En dan hebben we het er nog maar niet eens over dat sommige systemen je het wachtwoord 2 keer laten intikken...
Waar dat goed voor is??
Bij het wijzigen van een wachtwoord is dat zinvol: als er maar 1 veld zou zijn en je maakt een tikfout, kun je niet meer inloggen. Bovendien zou 2x intikken ertoe kunnen leiden dat je jouw nieuwe wachtwoord beter onthoudt, maar dat zal vast niet voor iedereen gelden.

Bovendien zijn die 2 velden alleen maar irritant als je een wachtwoordmanager gebruikt (en het wachtwoord random hebt laten genereren), en helemaal als copy/paste niet werkt. Nb. van mij mogen alle loginschermen een "advanced" button hebben met een "use at your own risk" disclaimer plus toelichting, waarbij het invullen van 1 wachtwoordveld volstaat en copy/paste wel werkt.

Bij inlogschermen kom ik zelden of nooit twee wachtwoordvelden tegen (wellicht op phishingpagina's waar cybercriminelen zeker willen weten dat je ze een foutloos wachtwoord geeft, en je tevens proberen af te leiden van bijv. de domeinnaam: hoe meer je in moet vullen, hoe meer geïrriteerd en gehaast je raakt - en daardoor geneigd kunt zijn om minder goed op te letten aan wie je die gegevens verstrekt).

Heb je voorbeelden van inlog-scenario's waar je 2x jouw wachtwoord moet intikken?
Reageer met quote
07-01-2021, 20:15 door eeef
Voor mensen die het niet vertrouwen is het inderdaad mogelijk een QR code scanner te downloaden die alleen de inhoud leest en dit vervolgens weergeeft in tekst (dus niet daadwerkelijk iets met de QR code doet behalve lezen wat het is).
Op die manier ben je er zeker van dat er geen onveilige acties uitgevoerd worden na het scannen.

Voor diegene die een wifi QR code wat leuker willen maken is de Nederlandstalige generator https://qrcodetotaal.nl/wifi-qr-code/ een leuke optie.
Reageer met quote
07-01-2021, 22:46 door Anoniem
Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
Reageer met quote
08-01-2021, 00:06 door Anoniem
Door Anoniem: Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
1. Je "gooit het helemaal niet in een website". Dit is een javascript wat lokaal draait in je browser. Je kunt die pagina
opvragen, je internet verbreken, en dan een SSID en password intikken en dan nog werkt het.

2. dat maakt toch niks uit. dat is daarboven al uitgelegd. zelfs al wordt je wachtwoord bekend denk je dan dat de eigenaar
van die site de halve wereld afreist om bij jou voor de deur in jouw wifi netwerk in te breken?
Je moet er toch al vanuit gaan dat iedereen kan "verbinden met je wifi" en alle beveiliging "verderop" aanbrengen.
Immers steeds meer systemen delen gewoon je wifi wachtwoord met bekenden als je even niet oplet, en zelfs dergelijke
QR codes kun je al gewoon op een telefoon toveren als die eenmaal is aangemeld en dan overnemen op een andere.
Reageer met quote
08-01-2021, 08:41 door Anoniem
Door Anoniem: Kan aan mij liggen maar waarom zou je ooit je wifi wachtwoord en ssid in een website gooien? Kan net zo goed een boordje "hack me" en "ik woon hier" om me nek hangen, nietwaar?
En dan weet je de SSID en het wachtwoord van iemand z'n wifi. Wat wil je er dan mee doen?

Security technisch is het slechte vorm om creds in plaintext te versturen of naar een website te sturen, zeker, maar voor dit specifieke geval is het risico gewoon laag, en er zijn prima manieren om om dat risico heen te gaan mocht je het niet vertrouwen.
Reageer met quote
08-01-2021, 10:06 door Anoniem
Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :


apt-get install -y qrencode

qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"

Genereert een wifi.png file met de qr-code. Geheel lokaal.
Reageer met quote
08-01-2021, 10:35 door Anoniem
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :


apt-get install -y qrencode

qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"

Genereert een wifi.png file met de qr-code. Geheel lokaal.

Je bent me net voor, maar precies dit is een mogelijkheid die ook in me opkwam en ik zelf ook al eerder gebruikt heb.

Overigens is het een beperkt risico om deze gegeven via een publieke website te laten generen.
Reageer met quote
08-01-2021, 10:55 door Anoniem
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :


apt-get install -y qrencode

qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"

Genereert een wifi.png file met de qr-code. Geheel lokaal.
Je bent me voor :-).

Dit werkt ook in Debian.
Reageer met quote
08-01-2021, 10:56 door Anoniem
Door linux4: Stel de website kopieert jouw SSID en wachtwoord dan nog is het alleen bruikbaar op een locatie die men waarschijnlijk niet kan achterhalen. En als je dan zo dom bent je hele adres in je SSID te zetten dan moeten de eigenaren van de website eerst naar Nederland vliegen om jouw Wifi te misbruiken. Kortom...
Op basis van ssid en/of bssid is het vaak mogelijk om een wifi-punt naar een fysieke locatie te brengen. Er zijn partijen die dit scannen en via publieke databases, waaronder Google / Wigle, is deze informatie doorzoekbaar.
Reageer met quote
08-01-2021, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Voor de linux gebruikers (mint hier, maar tenminste ubuntu werkt zeker ook) :


apt-get install -y qrencode

qrencode -o wifi.png "WIFI:S:<yournetworkssid>;T:WPA2;P:<wpa2passphrase>;;"

Genereert een wifi.png file met de qr-code. Geheel lokaal.
Je bent me voor :-).

Dit werkt ook in Debian.

Met brew ook op de mac natuurlijk.

brew install qrencode

[https://brew.sh
Reageer met quote
08-01-2021, 13:44 door Anoniem
Blij dat er meer lezers zijn die een beetje hetzelfde denken. Soms voel ik me een beetje een "freak".

Overigens kun je met qrencode nog veeeel meer leuke dingen doen natuurlijk.

Doorverwijzen naar een website of een file ergens op het internet bijvoorbeeld.

Maar dat is off-topic.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Werk jij nog thuis?

17 reacties
Aantal stemmen: 1245
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter