Có phải hầu hết những người đam mê có thể bẻ khóa mạng Wi-Fi của mọi người?

Hầu hết người dùng nhiệt tình (ngay cả khi họ không phải là chuyên gia) có thể sử dụng các kỹ thuật nổi tiếng để vượt qua bảo mật của bộ định tuyến gia đình trung bình không?

Một số tùy chọn bảo mật cơ bản là:

• mật khẩu mạng mạnh với các phương thức mã hóa khác nhau
• mật khẩu truy cập bộ định tuyến tùy chỉnh
• WPS
• không phát SSID
• Lọc địa chỉ MAC

Là một số trong số này bị xâm phạm và phải làm gì để làm cho mạng gia đình an toàn hơn?

Không tranh luận về ngữ nghĩa, vâng, tuyên bố này là đúng.

Có nhiều tiêu chuẩn cho mã hóa WIFI bao gồm WEP, WPA và WPA2. WEP bị xâm phạm, vì vậy nếu bạn đang sử dụng nó, ngay cả với một mật khẩu mạnh, nó có thể bị phá vỡ một cách tầm thường. Tôi tin rằng WPA khó bẻ khóa hơn rất nhiều (nhưng bạn có thể có các vấn đề bảo mật liên quan đến WPS vượt qua điều này) và kể từ tháng 10 năm 2017, WPA2 cũng cung cấp bảo mật đáng ngờ. Ngoài ra, ngay cả mật khẩu cứng cũng có thể bị ép buộc - Moxie Marlinspike - một hacker nổi tiếng cung cấp dịch vụ để thực hiện điều này bằng cách sử dụng điện toán đám mây 17 đô la Mỹ - mặc dù nó không được bảo đảm.

Mật khẩu bộ định tuyến mạnh sẽ không làm gì để ngăn người nào đó ở phía WIFI truyền dữ liệu qua bộ định tuyến, do đó không liên quan.

Một mạng ẩn là một huyền thoại - trong khi có các hộp để làm cho một mạng không xuất hiện trong danh sách các trang web, thì các máy khách báo hiệu bộ định tuyến WIFI do đó sự hiện diện của nó bị phát hiện một cách tầm thường.

Lọc MAC là một trò đùa vì nhiều thiết bị WIFI (hầu hết / tất cả?) Có thể được lập trình / lập trình lại để sao chép địa chỉ MAC hiện có và bỏ qua quá trình lọc MAC.

An ninh mạng là một chủ đề lớn và không phải là câu hỏi phù hợp với câu hỏi của Superuser, nhưng điều cơ bản là bảo mật được xây dựng theo lớp để ngay cả khi một số bị xâm phạm không phải - tất cả, bất kỳ hệ thống nào cũng có thể bị xâm nhập trong thời gian, tài nguyên và kiến ​​thức, vì vậy bảo mật thực sự không phải là một câu hỏi "có thể bị hack", nhưng "sẽ mất bao lâu" để hack. WPA và mật khẩu an toàn bảo vệ chống lại "Joe Average".

Nếu bạn muốn tăng cường bảo vệ mạng WIFI, bạn chỉ có thể xem nó dưới dạng lớp vận chuyển, mã hóa và lọc mọi thứ đi qua lớp đó. Điều này là quá mức đối với đại đa số mọi người, nhưng một cách bạn có thể làm là đặt bộ định tuyến chỉ cho phép truy cập vào một máy chủ VPN nhất định dưới sự kiểm soát của bạn và yêu cầu mỗi khách hàng xác thực qua kết nối WIFI qua VPN - do đó, ngay cả khi WIFI bị xâm phạm, vẫn có các lớp [khó] khác bị đánh bại. Một tập hợp con của hành vi này không phải là hiếm trong môi trường công ty lớn.

Một giải pháp thay thế đơn giản hơn để bảo mật mạng gia đình tốt hơn là bỏ hoàn toàn WIFI và chỉ yêu cầu các giải pháp đã được kích hoạt. Nếu bạn có những thứ như điện thoại di động hoặc máy tính bảng thì điều này có thể không thực tế. Trong trường hợp này, bạn có thể giảm thiểu rủi ro (chắc chắn không loại bỏ chúng) bằng cách giảm cường độ tín hiệu của bộ định tuyến. Bạn cũng có thể che chắn ngôi nhà của mình để tần số rò rỉ ít hơn - Tôi đã không làm điều đó, nhưng tin đồn mạnh mẽ (đã được nghiên cứu) cho rằng ngay cả lưới nhôm (như màn hình bay) ở bên ngoài ngôi nhà của bạn, với nền tảng tốt có thể tạo ra rất lớn chênh lệch với lượng tín hiệu sẽ thoát ra. [Nhưng, tất nhiên, bảo hiểm điện thoại tạm biệt]

Về mặt bảo vệ, một giải pháp thay thế khác có thể là lấy bộ định tuyến của bạn (nếu nó có khả năng thực hiện, hầu hết không, nhưng tôi tưởng tượng các bộ định tuyến chạy openwrt và có thể là cà chua / dd-wrt) để ghi nhật ký tất cả các gói đi qua mạng của bạn và để mắt đến nó - Địa ngục, thậm chí chỉ cần theo dõi sự bất thường với tổng số byte trong và ngoài các giao diện khác nhau có thể mang lại cho bạn một mức độ bảo vệ tốt.

Vào cuối ngày, có lẽ câu hỏi cần đặt ra là "Tôi cần làm gì để khiến nó không đáng để tin tặc xâm nhập vào mạng của tôi" hoặc "Chi phí thực sự của việc mạng của tôi bị xâm phạm là gì" và sẽ đi từ đó. Không có câu trả lời nhanh chóng và dễ dàng.

Cập nhật - Tháng 10 năm 2017

Hầu hết các khách hàng sử dụng WPA2 - trừ khi được vá - có thể khiến lưu lượng truy cập của họ bị lộ trong bản rõ bằng cách sử dụng "Tấn công cài đặt lại khóa - KRACK" - đây là một điểm yếu trong tiêu chuẩn WPA2. Đáng chú ý, điều này không cung cấp quyền truy cập vào mạng hoặc PSK, chỉ cho lưu lượng truy cập của thiết bị được nhắm mục tiêu.

Như những người khác đã nói, việc ẩn SSID là không đáng kể để phá vỡ. Trên thực tế, mạng của bạn sẽ hiển thị theo mặc định trong danh sách mạng Windows 8 ngay cả khi nó không phát SSID của nó. Mạng vẫn phát sóng sự hiện diện của nó thông qua các khung đèn hiệu; nó chỉ không bao gồm SSID trong khung đèn hiệu nếu tùy chọn đó được chọn. SSID là tầm thường để có được từ lưu lượng truy cập mạng hiện có.

Lọc MAC cũng không hữu ích lắm. Nó có thể làm chậm một chút kịch bản kiddie đã tải xuống bản bẻ khóa WEP, nhưng chắc chắn sẽ không ngăn được bất cứ ai biết họ đang làm gì, vì họ chỉ có thể giả mạo một địa chỉ MAC hợp pháp.

Theo như WEP, nó hoàn toàn bị phá vỡ. Sức mạnh của mật khẩu của bạn không quan trọng lắm ở đây. Nếu bạn đang sử dụng WEP, bất kỳ ai cũng có thể tải xuống phần mềm sẽ xâm nhập vào mạng của bạn khá nhanh, ngay cả khi bạn có mật mã mạnh.

WPA an toàn hơn đáng kể so với WEP, nhưng vẫn bị coi là bị hỏng. Nếu phần cứng của bạn hỗ trợ WPA nhưng không phải WPA2, thì tốt hơn là không có gì, nhưng một người dùng quyết tâm có thể có thể bẻ khóa nó bằng các công cụ phù hợp.

WPS (thiết lập được bảo vệ không dây) là nguyên nhân chính của bảo mật mạng. Vô hiệu hóa nó bất kể bạn đang sử dụng công nghệ mã hóa mạng nào.

WPA2 - đặc biệt là phiên bản sử dụng AES - khá an toàn. Nếu bạn có một mật khẩu đàng hoàng, bạn của bạn sẽ không truy cập vào mạng được bảo mật WPA2 của bạn mà không nhận được mật khẩu. Bây giờ, nếu NSA đang cố xâm nhập vào mạng của bạn, đó là một vấn đề khác. Sau đó, bạn nên tắt hoàn toàn không dây của bạn. Và có lẽ kết nối internet của bạn và tất cả các máy tính của bạn, quá. Có đủ thời gian và tài nguyên, WPA2 (và bất cứ thứ gì khác) có thể bị hack, nhưng có thể sẽ cần nhiều thời gian hơn và nhiều khả năng hơn so với sở thích trung bình của bạn sẽ có theo ý của họ.

Như David đã nói, câu hỏi thực sự không phải là 'Điều này có thể bị hack không?' nhưng, đúng hơn, "Sẽ mất bao lâu để một người có một bộ khả năng cụ thể để hack nó?" Rõ ràng, câu trả lời cho câu hỏi đó thay đổi rất nhiều đối với tập hợp các khả năng cụ thể đó là gì. Anh ấy cũng hoàn toàn chính xác rằng bảo mật nên được thực hiện trong các lớp. Những thứ bạn quan tâm không nên truy cập mạng của bạn mà không được mã hóa trước. Vì vậy, nếu ai đó xâm nhập vào mạng không dây của bạn, thì họ sẽ không thể truy cập vào bất cứ điều gì có ý nghĩa ngoài việc có thể sử dụng kết nối internet của bạn. Bất kỳ thông tin liên lạc nào cần được bảo mật vẫn nên sử dụng thuật toán mã hóa mạnh (như AES), có thể được thiết lập thông qua TLS hoặc một số sơ đồ PKI như vậy. Đảm bảo e-mail của bạn và bất kỳ lưu lượng truy cập web nhạy cảm nào khác được mã hóa và bạn không phát sinh '

Cập nhật ngày 17 tháng 10 năm 2017 - Câu trả lời này phản ánh tình hình trước khi phát hiện gần đây về một lỗ hổng lớn mới ảnh hưởng đến cả WPA và WPA2. Các chính Cài đặt lại tấn công (KRACK) lợi dụng một lỗ hổng trong giao thức bắt tay với Wi-Fi. Không đi sâu vào các chi tiết mật mã lộn xộn (mà bạn có thể đọc tại trang web được liên kết), tất cả các mạng Wi-Fi sẽ bị coi là bị hỏng cho đến khi chúng được vá, bất kể thuật toán mã hóa cụ thể nào đang sử dụng.

Các câu hỏi liên quan. Có liên quan đến KRACK:
Hậu quả của cuộc tấn công KRACK WPA2
Làm cách nào tôi có thể tự bảo vệ mình khỏi KRACK khi tôi không đủ khả năng sử dụng VPN?

Vì các câu trả lời khác trong chủ đề này là tốt, tôi nghĩ rằng, đối với những người yêu cầu một câu trả lời cụ thể (ờ ... đây là SuperUser, phải không?), Câu hỏi có thể dễ dàng được dịch là: "Tôi nên biết gì để làm cho tôi Mạng WiFi có an toàn không? " .
Không phủ nhận (cũng không xác nhận) bất kỳ câu trả lời nào khác, đây là câu trả lời ngắn gọn của tôi:

Những lời của nhà mật mã học Bruce Schenier có thể là lời khuyên đáng giá cho nhiều người dùng cần nhớ:

Giải pháp thực sự duy nhất là rút dây nguồn.

Điều này thường có thể được áp dụng cho các mạng không dây : chúng ta có liên tục cần nó hoạt động không?
Nhiều bộ định tuyến có nút WiFi để bật / tắt không dây, như D-Link DSL-2640B .
Nếu không, bạn luôn có thể tự động hóa bật / tắt web không dây bằng cách sử dụng các công cụ như iMacros (có sẵn dưới dạng tiện ích mở rộng cho Firefox hoặc dưới dạng chương trình độc lập) trên Windows và nhiều chương trình khác trên Linux.

Và đây là hai thủ thuật cho mật khẩu WPA (xin vui lòng quên mật khẩu WEP ) ( mật khẩu WPA tốt sẽ khiến việc tấn công trở nên rất khó khăn) ( không giữ mật khẩu mặc định ):

1. Sử dụng các từ không tồn tại và / hoặc từ nước ngoài : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (vì không có từ điển đơn giản nào có thể được sử dụng để tìm chúng).
2. Tạo câu dễ nhớ (ít nhất là cho bạn) và xác định mật khẩu của bạn bằng cách lấy ký tự đầu tiên của mỗi từ. Kết quả sẽ là mật khẩu khó bẻ khóa (tối thiểu 8 ký tự) nhưng dễ nhớ mật khẩu bao gồm chữ hoa và chữ thường , số và một số ký tự không chữ cái khác:
   "Bạn có hai con trai và 3 con mèo và bạn yêu chúng. " -> "Yh2sa3c, aylt."

Và, vì Chúa: vô hiệu hóa WPS ngay bây giờ! Đó là hoàn toàn thiếu sót .

Không có điều gì bạn đề cập (ngoài mật khẩu mạng) thực sự ảnh hưởng đến việc hack mạng Wi-Fi. Insomuch như một bộ lọc địa chỉ MAC và SSID ẩn không thực sự giúp ích gì về mặt bảo mật.

Điều thực sự quan trọng là loại mã hóa được sử dụng trên mạng. Các mã hóa mạng cũ hơn như WEP là không đáng kể để phá vỡ vì với đủ lưu lượng truy cập, bạn có thể giải mã chúng và bạn có thể buộc chúng tạo lưu lượng truy cập bạn cần.

Tuy nhiên, những cái mới hơn như WPA2 an toàn hơn nhiều. Bây giờ, không có gì là "an toàn" trước mọi đối thủ, nhưng điều này thường là đủ cho Wi-Fi gia đình.

Đây là một chủ đề lớn, và điều này chỉ chạm vào phần nổi của tảng băng trôi, nhưng hy vọng nó có ích.

WEP và WPA1 / 2 (có bật WPS) có thể bị hack một cách tầm thường; cái trước bằng cách sử dụng IV bị bắt và cái sau với bruteforce PIN WPS (chỉ có 11.000 combo có thể, từ pin 3 phần; 4 chữ số [10.000 có thể] + 3 chữ số [1.000 có thể] + tổng kiểm tra 1 chữ số [được tính từ phần còn lại]) .

WPA1 / 2 khó khăn hơn với mật khẩu mạnh, nhưng sử dụng bẻ khóa GPU và kỹ thuật bruteforce có thể phá vỡ một số yếu hơn.

Cá nhân tôi đã bẻ khóa WEP và WPS trên mạng làm việc của mình (với sự cho phép, tôi đã chứng minh các lỗ hổng cho chủ lao động của mình), nhưng tôi vẫn chưa bẻ khóa thành công WPA.

Đây là một câu hỏi hay và hướng dẫn để có mạng không dây rất an toàn nên được biết đến. Định cấu hình bộ định tuyến / cổng / AP để:

• bảo mật không dây chỉ WPA2
• mã hóa chỉ là AES
• sử dụng khóa chia sẻ trước có chứa nhiều từ (ví dụ: IloveSuperUser)
• vô hiệu hóa WPS
• vô hiệu hóa quản trị từ xa

Đó là nó! Đối với tất cả các mục đích thực tế, bây giờ bạn có không dây hoàn toàn an toàn.

Trong diễn đàn Mạng học tập của Cisco , một người bắt đầu chủ đề đã hỏi:

WPA / TKIP có thể bị bẻ khóa không? Hoặc ai đó trong nhà khách của tôi đã sử dụng hết 80 hợp đồng dữ liệu hoặc ai đó ở gần bằng cách bẻ khóa mật khẩu và sử dụng nó. Tôi nghi ngờ ai đó trong nhà khách vì tôi thấy khó tin WPA / TKIP có thể bị bẻ khóa và ngay cả khi nó có thể bị bẻ khóa thì điều đó cũng không dễ thực hiện. Làm thế nào khó khăn để phá vỡ WPA / TKIP? Tôi muốn thay đổi mật khẩu cho họ bằng mọi cách, tôi có thể sử dụng - và _ và không? nhân vật?

Một người rõ ràng rất thông minh tên là "Zach" đã đăng bài đăng này mà người bắt đầu chủ đề, ở đây (và những người khác, ở đây, nếu họ quan tâm), nên đọc.

Cụ thể, đọc từ khoảng hai phần ba đường xuống bài đăng của anh ấy, nơi anh ấy bắt đầu với dòng chữ "Các giải pháp:".

Tôi đang sử dụng cài đặt " WPA-PSK (TKIP) / WPA2-PSK (AES) " của cổng . Để phù hợp với bài đăng này của Zach ...

Thay đổi tên của bộ định tuyến của bạn thành một cái gì đó độc đáo. ESSID của bạn được sử dụng bởi wlan thay thế của bạn như một loại muối mật mã trên PMK. Thay đổi điều này sẽ loại bỏ các cuộc tấn công tiền tính toán.

... Tôi đã sử dụng ESSID độc đáo của mình từ lâu. Ngoài ra, để phù hợp với ...

Tạo một mật khẩu duy nhất kết hợp các ký tự, số, chữ hoa độc đáo. nhiều từ và chữ thường. Điều này quan trọng hơn chiều dài. Việc tăng độ dài của mật khẩu sẽ chỉ tăng cường độ mật khẩu nhưng nó không cần phải quá dài. Sức mạnh nằm ở phương sai của tiềm năng . Điều này sẽ loại bỏ các cuộc tấn công từ điển và làm cho vũ phu không thể có được nếu không có siêu máy tính.

... Của tôi là 25 ký tự bao gồm các chữ cái, số, chữ hoa và chữ thường và các ký tự đặc biệt. Không có phần nào của nó đánh vần bất cứ điều gì.

Tôi làm một số việc khác cả Zach làm và không liệt kê ở đó; nhưng ngoài những điều trên, và nói những điều khác, và ít nhất là tinh thần của những gì anh ấy đã viết ở đây ...

Cho phép ghi nhật ký chi tiết và nếu có thể chuyển tiếp email của bạn.

... Tôi từ lâu đã viết một chút mã kịch bản tự động khởi chạy khi khởi động Windows và chỉ chạy trong khay hệ thống; mã nào định kỳ, trong suốt cả ngày, làm mới cứng và sau đó phân tích trang web trong cổng của tôi liệt kê tất cả các thiết bị được kết nối; và sau đó nó cho tôi biết cả hai như một loa pop-up-with-triple-be-through-the-bo mạch chủ (không phải loa âm thanh thông thường, chỉ trong trường hợp chúng bị tắt tiếng hoặc một cái gì đó) trên máy tính xách tay thay thế máy tính để bàn của tôi màn hình, và cũng qua tin nhắn đến điện thoại của tôi (có trong túi đeo thắt lưng hoặc ít nhất là không quá năm feet so với tôi, 24/7/365), nếu có bất cứ điều gì mới xuất hiện.

Đối với những người không có kỹ năng đó, có một số ứng dụng loại "ai đó trên WI-FI của tôi" ngoài kia, một số ứng dụng miễn phí. Một thứ tốt và đơn giản là [badboy này] [3]. Chỉ cần tự động khởi động nó với Windows, để nó nằm trong khay hệ thống và bảo nó "bíp trên thiết bị mới" và bạn sẽ có một cái gì đó tương tự như kịch bản của tôi làm (ngoại trừ việc nó sẽ không SMS cho bạn). Tuy nhiên, bằng cách sử dụng [một công cụ tạo tập lệnh đơn giản] [5], bạn có thể khiến SMS hoặc email được gửi đến điện thoại của mình khi một thiết bị mới trên mạng LAN khiến ứng dụng phát ra tiếng bíp.

Mong rằng sẽ giúp.

Một xem xét khác cho bất kỳ phân tích bảo mật là các tài sản cần được bảo vệ và giá trị của các tài sản đó cho chủ sở hữu và một kẻ tấn công tiềm năng. Tôi đoán rằng thông tin đăng nhập ngân hàng, số thẻ tín dụng và thông tin đăng nhập khác của bạn có lẽ là thông tin có giá trị nhất trên mạng gia đình và hầu hết những điều này sẽ được mã hóa TLS / SSL bao phủ qua kết nối https. Vì vậy, có vẻ như nếu bạn sử dụng khóa WPA2 trên bộ định tuyến wifi và đảm bảo trình duyệt của bạn sử dụng https bất cứ khi nào có thể (sử dụng công cụ như https ở mọi nơi), bạn sẽ khá an toàn. (Kẻ tấn công tiềm năng sẽ phải gặp rắc rối khi bẻ khóa WPA2 của bạn để có thể lấy mật khẩu không vượt qua https hoặc các trang http bạn đang duyệt.)

Nghi ngờ .

Tôi không đồng ý với câu trả lời của davidgo. Mặc dù nó được nghiên cứu kỹ lưỡng và tôi đồng ý với hầu hết các thông tin của anh ấy, tôi nghĩ nó hơi bi quan.

Có những lỗ hổng trong WPA2 được đề cập trong các câu trả lời khác. Tuy nhiên không ai trong số này là không thể tránh khỏi.

Đặc biệt, cần lưu ý rằng cuộc tấn công vũ phu được davidgo đề cập là một cuộc tấn công vào một điểm yếu trong MS-CHAPv2. Xem tài liệu tham khảo của tác giả được trích dẫn [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Nếu Ms-CHAP không được sử dụng, điểm yếu này không thể được khai thác. (xóa dựa trên nhận xét từ tác giả - tham chiếu sai)

Với cụm từ đúng, SSID và tránh công nghệ bị xâm nhập, tôi thấy không có lý do nào khiến mạng bảo mật WPA2 sử dụng AES256 không an toàn vào lúc này. Các cuộc tấn công vũ phu vào các mạng như vậy là không khả thi, và thậm chí Moxy Marlinspike cũng gợi ý điều này.

Tuy nhiên, nơi tôi đồng ý với phản hồi của davidgo là hầu hết người dùng không thực hiện những nỗ lực này. Tôi biết rằng mạng gia đình của riêng tôi có thể bị khai thác và mặc dù tôi biết cách khắc phục nó, nhưng nó không đáng để tôi mất thời gian và công sức.