I øjeblikket ved de fleste, at en åben Wi-Finetværk giver folk mulighed for at aflyse din trafik. Standard WPA2-PSK-kryptering formodes at forhindre, at dette sker - men det er ikke så fjolsikkert, som du måske tror.
Dette er ikke kæmpe nyheder om en ny sikkerhedsfejl. Det er snarere sådan, WPA2-PSK altid er blevet implementeret. Men det er noget de fleste ikke ved.
Åbn Wi-Fi-netværk kontra krypterede Wi-Fi-netværk
RELATEREDE: Hvorfor brug af et offentligt Wi-Fi-netværk kan være farligt, selv når du får adgang til krypterede websteder
Du skal ikke være vært for et åbent Wi-Fi-netværk derhjemme,men du kan finde dig selv ved at bruge en i det offentlige - for eksempel på en kaffebar, mens du passerer gennem en lufthavn eller på et hotel. Åbn Wi-Fi-netværk har ingen kryptering, hvilket betyder, at alt, der sendes over luften, er "klart". Folk kan overvåge din browseaktivitet, og enhver webaktivitet, der ikke er sikret med selve krypteringen, kan snoopes på. Ja, dette er endda sandt, hvis du skal "logge ind" med et brugernavn og adgangskode på en webside efter at have logget ind på det åbne Wi-Fi-netværk.
Kryptering - ligesom WPA2-PSK-kryptering vianbefaler at du bruger derhjemme - løser dette noget. En person i nærheden kan ikke bare fange din trafik og snuppe på dig. De får en masse krypteret trafik. Dette betyder, at et krypteret Wi-Fi-netværk beskytter din private trafik mod at blive snappet på.
Dette er slags sandt - men der er en stor svaghed her.
WPA2-PSK bruger en delt nøgle
RELATEREDE: Har ikke en falsk følelse af sikkerhed: 5 usikre måder at sikre din Wi-Fi på
Problemet med WPA2-PSK er, at det bruger en“Pre-Shared Key.” Denne nøgle er adgangskoden eller adgangskoden, du skal indtaste for at oprette forbindelse til Wi-Fi-netværket. Alle, der opretter forbindelse, bruger den samme adgangssætning.
Det er ret let for nogen at overvåge denne krypterede trafik. Alt hvad de har brug for er:
- Passphrase: Alle med tilladelse til at oprette forbindelse til Wi-Fi-netværket har dette.
- Foreningen trafik for en ny klient: Hvis nogen fanger de sendte pakkermellem routeren og en enhed, når den opretter forbindelse, har de alt, hvad de har brug for for at dekryptere trafikken (forudsat at de naturligvis også har adgangskoden). Det er også trivielt at få denne trafik via "skønhed" -angreb, der med kraft frakobler en enhed fra et Wi_Fi-netværk og tvinger den til at oprette forbindelse igen, hvilket får associeringsprocessen til at ske igen.
Vi kan virkelig ikke understrege, hvor simpelt dette er. Wireshark har en indbygget mulighed for automatisk at dekryptere WPA2-PSK-trafik, så længe du har den foruddelte nøgle og har fanget trafikken til tilknytningsprocessen.
Hvad dette egentlig betyder
RELATEREDE: Din Wi-Fi's WPA2-kryptering kan knækkes offline: Sådan gør du
Hvad dette faktisk betyder er, at WPA2-PSK ikke er detmeget mere sikker mod aflytning, hvis du ikke har tillid til alle på netværket. Hjemme skal du være sikker, fordi din Wi-Fi-adgangssætning er en hemmelighed.
Men hvis du går ud til en kaffebar og deBrug WPA2-PSK i stedet for et åbent Wi-FI-netværk, du føler dig måske meget mere sikker i dit privatliv. Men det skal du ikke - nogen med kaffebarens Wi-Fi-adgangssætning kan overvåge din browsertrafik. Andre mennesker på netværket, eller bare andre med adgangskoden, kunne snuppe på din trafik, hvis de ville.
Sørg for at tage dette i betragtning. WPA2-PSK forhindrer, at folk uden adgang til netværket kan snuppe. Når de først har netværkets adgangssætning, er alle indsatser imidlertid slået fra.
Hvorfor prøver WPA2-PSK ikke at stoppe dette?
WPA2-PSK prøver faktisk at stoppe dette igennembrugen af en “parvis transient tast” (PTK). Hver trådløs klient har en unik PTK. Dette hjælper dog ikke meget, fordi den unikke per-klientnøgle altid er afledt af den foruddelte nøgle (Wi-Fi-adgangssætning.) Derfor er det trivielt at fange en klients unikke nøgle, så længe du har Wi- Fi-adgangssætning og kan fange den trafik, der sendes via tilknytningsprocessen.
WPA2-Enterprise løser dette… til store netværk
For store organisationer, der kræver sikker Wi-Finetværk, kan denne sikkerhedssvaghed undgås ved brug af EAP-godkendelse med en RADIUS-server - nogle gange kaldet WPA2-Enterprise. Med dette system modtager hver Wi-Fi-klient en virkelig unik nøgle. Ingen Wi-Fi-klient har nok oplysninger til bare at begynde at snuppe på en anden klient, så dette giver meget større sikkerhed. Store virksomhedskontorer eller offentlige agenturer bør bruge WPA2-Enteprise af denne grund.
Men dette er for kompliceret og kompliceret tillangt de fleste mennesker - eller endda de fleste nørder - til at bruge derhjemme. I stedet for en Wi-FI-adgangssætning, du skal indtaste på enheder, du vil oprette forbindelse, skal du administrere en RADIUS-server, der håndterer godkendelse og nøglestyring. Dette er meget mere kompliceret for hjemmebrugere at konfigurere.
Faktisk er det ikke engang værd at bruge din tid, hvis dustole på alle på dit Wi-Fi-netværk, eller alle med adgang til din Wi-Fi-adgangssætning. Dette er kun nødvendigt, hvis du er tilsluttet et WPA2-PSK-krypteret Wi-Fi-netværk på en offentlig placering - kaffebar, lufthavn, hotel eller endda et større kontor - hvor andre mennesker, du ikke har tillid til, også har Wi- FI-netværkets adgangssætning.
Så falder himlen? Nej selvfølgelig ikke. Men husk dette: Når du er tilsluttet et WPA2-PSK-netværk, kan andre mennesker med adgang til det netværk let snuppe på din trafik. På trods af hvad de fleste måske tror, giver denne kryptering ikke beskyttelse mod andre mennesker med adgang til netværket.
Hvis du skal have adgang til følsomme websteder på en offentlighedWi-Fi-netværk - især websteder, der ikke bruger HTTPS-kryptering - overveje at gøre det gennem en VPN eller endda en SSH-tunnel. WPA2-PSK-kryptering på offentlige netværk er ikke god nok.
Billedkredit: Cory Doctorow på Flickr, Food Group på Flickr, Robert Couse-Baker på Flickr
