Nu vet de flesta att en öppen Wi-Finätverk gör det möjligt för människor att avlyssna din trafik. Standard WPA2-PSK-kryptering är tänkt att förhindra att detta händer - men det är inte så idiotsäkert som du kanske tror.
Det här är inte enorma nyheter om en ny säkerhetsbrist. Snarare är det så som WPA2-PSK alltid har implementerats. Men det är något de flesta inte vet.
Öppna Wi-Fi-nätverk kontra krypterade Wi-Fi-nätverk
RELATERAD: Varför att använda ett offentligt Wi-Fi-nätverk kan vara farligt, även när du kommer åt krypterade webbplatser
Du bör inte vara värd för ett öppet Wi-Fi-nätverk hemma,men du kan hitta dig själv med en offentligt - till exempel på ett kafé, när du passerar genom en flygplats eller på ett hotell. Öppna Wi-Fi-nätverk har ingen kryptering, vilket innebär att allt som skickas över luften är "klart." Människor kan övervaka din surfaktivitet, och all webbaktivitet som inte är säkrad med själva krypteringen kan snuppas på. Ja, detta är till och med sant om du måste "logga in" med ett användarnamn och lösenord på en webbsida efter att du har loggat in på det öppna Wi-Fi-nätverket.
Kryptering - som WPA2-PSK-kryptering virekommenderar att du använder hemma - fixar detta något. Någon i närheten kan inte bara fånga din trafik och snoka på dig. De får en massa krypterad trafik. Detta innebär att ett krypterat Wi-Fi-nätverk skyddar din privata trafik från att snäppas på.
Det här är sant - men det finns en stor svaghet här.
WPA2-PSK använder en delad nyckel
RELATERAD: Har inte en falsk känsla av säkerhet: 5 osäkra sätt att säkra din Wi-Fi
Problemet med WPA2-PSK är att det använder en“Fördelad nyckel.” Den här nyckeln är lösenordet, eller lösenfrasen, du måste ange för att ansluta till Wi-Fi-nätverket. Alla som ansluter använder samma lösenfras.
Det är ganska lätt för någon att övervaka den krypterade trafiken. Allt de behöver är:
- Lösenfrasen: Alla med tillåtelse att ansluta till Wi-Fi-nätverket kommer att ha detta.
- Föreningens trafik för en ny klient: Om någon fångar in de skickade paketenmellan routern och en enhet när den ansluts har de allt de behöver för att dekryptera trafiken (förutsatt att de också har lösenfrasen, naturligtvis). Det är också trivialt att få denna trafik via "deauth" -attacker som med kraft kopplar bort en enhet från ett Wi_Fi-nätverk och tvingar den att ansluta igen, vilket får associeringsprocessen att hända igen.
Vi kan verkligen inte betona hur enkelt detta är. Wireshark har ett inbyggt alternativ för att automatiskt dekryptera WPA2-PSK-trafik så länge du har den fördelade nyckeln och har fångat in trafiken för associeringsprocessen.
Vad detta egentligen betyder
RELATERAD: Din Wi-Fi: s WPA2-kryptering kan brytas offline: Så här gör du
Vad detta faktiskt betyder är att WPA2-PSK inte är detmycket säkrare mot avlyssning om du inte litar på alla i nätverket. Hemma bör du vara säker eftersom din Wi-Fi-lösenfras är en hemlighet.
Men om du går ut på ett kafé och deanvänder WPA2-PSK istället för ett öppet Wi-FI-nätverk, du kanske känner dig mycket säkrare i din integritet. Men du bör inte - någon med kaféens Wi-Fi-lösenfras kan övervaka din surfningstrafik. Andra personer i nätverket, eller bara andra personer med lösenordet, kan tänka på din trafik om de ville.
Se till att ta hänsyn till detta. WPA2-PSK förhindrar att människor utan åtkomst till nätverket snoopar. Men när de har nätverkets lösenfras är alla insatser avstängda.
Varför försöker WPA2-PSK inte stoppa detta?
WPA2-PSK försöker faktiskt stoppa dettaanvändningen av en "parvis övergående knapp" (PTK). Varje trådlös klient har en unik PTK. Detta hjälper emellertid inte mycket eftersom den unika nyckeln per klient alltid härrör från den fördelade nyckeln (Wi-Fi-lösenfrasen.) Det är därför det är trivialt att fånga en klients unika nyckel så länge du har Wi- Fi-lösenfras och kan fånga trafiken som skickas via associeringsprocessen.
WPA2-Enterprise löser detta ... för stora nätverk
För stora organisationer som kräver säker Wi-Finätverk, kan denna säkerhetssvaghet undvikas genom användning av EAP-godkännande med en RADIUS-server - ibland kallad WPA2-Enterprise. Med detta system får varje Wi-Fi-klient en verkligt unik nyckel. Ingen Wi-Fi-klient har tillräckligt med information för att bara börja snuffa på en annan klient, så det ger mycket större säkerhet. Stora företagskontor eller myndigheter bör använda WPA2-Enteprise av detta skäl.
Men detta är för komplicerat och komplicerat förstora majoriteten av människor - eller till och med de flesta nördar - att använda hemma. I stället för en Wi-FI-lösenfras som du måste ange på enheter du vill ansluta, måste du hantera en RADIUS-server som hanterar autentisering och nyckelhantering. Detta är mycket mer komplicerat för hemanvändare att konfigurera.
Det är faktiskt inte ens värt din tid om dulita på alla på ditt Wi-Fi-nätverk, eller alla som har tillgång till ditt Wi-Fi-lösenord. Detta är endast nödvändigt om du är ansluten till ett WPA2-PSK-krypterat Wi-Fi-nätverk på en offentlig plats - kafé, flygplats, hotell eller till och med ett större kontor - där andra personer du inte litar på också har Wi- FI-nätverkets lösenfras.
Så faller himlen? Nej, självklart inte. Men kom ihåg detta: När du är ansluten till ett WPA2-PSK-nätverk, kan andra personer som har tillgång till det nätverket lätt smyga in din trafik. Trots vad de flesta kanske tror kan den krypteringen inte skydda andra människor med åtkomst till nätverket.
Om du måste komma åt känsliga webbplatser på en allmänhetWi-Fi-nätverk - särskilt webbplatser som inte använder HTTPS-kryptering - överväga att göra det genom en VPN eller till och med en SSH-tunnel. WPA2-PSK-krypteringen i offentliga nätverk är inte tillräckligt bra.
Bildkredit: Cory Doctorow på Flickr, Food Group på Flickr, Robert Couse-Baker på Flickr
