Configurați un nou Wi-Fi? Alegerea tipului de parolă de care aveți nevoie poate părea o alegere arbitrară. La urma urmei, WEP, WPA, WPA2 și WPA3 au toate în mare parte aceleași litere în ele.

O parolă este o parolă, deci care este diferența? Aproximativ 60 de secunde până la miliarde de ani, după cum se dovedește.

Toate criptările Wi-Fi nu sunt create egale. Să explorăm ce face aceste patru acronime atât de diferite și cum vă puteți proteja cel mai bine Wi-Fi-ul de acasă și al organizației.

Confidențialitate prin cablu echivalentă (WEP)

La început, a existat WEP.

Ilustrație WEP

Confidențialitate prin cablu echivalentă este un algoritm de securitate depreciat din 1997 care a fost destinat să ofere o securitate echivalentă unei conexiuni prin cablu. „Învechit” înseamnă „Să nu mai facem asta”.

Chiar și atunci când a fost introdus pentru prima dată, se știa că nu era atât de puternic pe cât ar fi putut fi, din două motive:

  • mecanismul său de criptare de bază și
  • Al doilea război mondial.

În timpul celui de-al doilea război mondial, impactul ruperii codului (sau criptanalizei) a fost imens. Guvernele au reacționat încercând să-și păstreze acasă cele mai bune rețete de sos secret.

În perioada WEP, Restricțiile guvernului SUA la exportul de tehnologie criptografică a determinat producătorii de puncte de acces să își limiteze dispozitivele la criptarea pe 64 de biți. Deși acest lucru a fost ulterior ridicat la 128 de biți, chiar și această formă de criptare a oferit un posibil foarte limitat dimensiunea cheii.

Acest lucru s-a dovedit problematic pentru WEP. Dimensiunea mică a cheii a dus la o simplificare mai ușoară forta bruta, mai ales atunci când acea cheie nu se schimbă adesea.

Mecanismul de criptare care stă la baza WEP este Cifrare flux RC4. Acest cifru a câștigat popularitate datorită vitezei și simplității sale, dar a costat un cost.

Nu este cel mai robust algoritm. WEP utilizează o singură cheie partajată între utilizatorii săi care trebuie introdusă manual pe un dispozitiv de punct de acces. (Când ați schimbat ultima dată parola Wi-Fi? Nu.)

Nici WEP nu a ajutat problemele prin simpla concatenare a cheii cu vectorul de inițializare – adică, și-a amestecat într-un fel bucățile de sos secret și a sperat la cele mai bune.

Vector de inițializare (IV): intrare de dimensiune fixă ​​la a algoritm criptografic de nivel scăzut, de obicei aleatoriu.

Combinat cu utilizarea RC4, acest lucru a lăsat WEP deosebit de sensibil la atac cu cheie asociată. În cazul WEP pe 128 de biți, parola dvs. Wi-Fi poate fi spartă de instrumente disponibile publicului în aproximativ 60 de secunde la trei minute.

În timp ce unele dispozitive au ajuns să ofere variante WEP de 152 biți sau 256 biți, acest lucru nu a reușit să rezolve problemele fundamentale ale mecanismului de criptare care stă la baza WEP.

Deci da. Să nu mai facem asta.

Acces protejat Wi-Fi (WPA)

Ilustrație WPA

Un nou standard interimar a încercat să „corecte” temporar problema securității WEP (lipsa). Numele Acces protejat Wi-Fi (WPA) cu siguranță sunete mai sigur, deci acesta este un început bun. Cu toate acestea, WPA a început mai întâi cu un alt nume mai descriptiv.

Ratificat într-un 2004 IEEE standard, Protocolul de integritate a cheii temporale (TKIP) utilizează o cheie generată dinamic, per pachet. Fiecare pachet trimis are o cheie temporală unică pe 128 de biți, (Vedeți? Descriptiv!) Care rezolvă sensibilitatea la atacurile cu chei conexe provocate de amestecul de chei partajate WEP.

TKIP pune în aplicare și alte măsuri, cum ar fi a cod de autentificare mesaj (MAC). Uneori cunoscut sub numele de checksum, un MAC oferă o modalitate criptografică de a verifica dacă mesajele nu au fost modificate.

În TKIP, un MAC nevalid poate declanșa, de asemenea, rekeying-ul cheii de sesiune. Dacă punctul de acces primește un MAC nevalid de două ori într-un minut, încercarea de intruziune poate fi contracarată schimbând cheia pe care un atacator încearcă să o spargă.

Din păcate, pentru a păstra compatibilitatea cu hardware-ul existent pe care WPA a fost menit să-l „corecte”, TKIP a păstrat utilizarea aceluiași mecanism de criptare subiacent ca WEP – cifrul fluxului RC4.

Deși a îmbunătățit cu siguranță punctele slabe ale WEP, TKIP s-a dovedit în cele din urmă vulnerabil la noi atacuri care a extins atacurile anterioare asupra WEP.

Aceste atacuri durează puțin mai mult pentru a fi executate prin comparație: de exemplu, douăsprezece minute în cazul unuia și 52 de ore in alt. Cu toate acestea, acest lucru este mai mult decât suficient pentru a considera că TKIP nu mai este sigur.

WPA sau TKIP a fost depreciat de atunci. Așadar, să nu mai facem asta.

Ceea ce ne aduce la …

Acces protejat Wi-Fi II (WPA2)

Ilustrație WPA2

Mai degrabă decât să cheltuiți efortul pentru a veni cu un nume complet nou, îmbunătățit Acces protejat Wi-Fi II (WPA2) standardul se concentrează în schimb pe utilizarea unui nou cifru de bază.

În loc de cifrarea fluxului RC4, WPA2 folosește un cifru bloc numit Standard de criptare avansat (AES) pentru a forma baza protocolului său de criptare.

Protocolul în sine, prescurtat CCMP, își extrage cea mai mare parte a securității din lungimea numelui său destul de lung (glumesc): Contor Mod Cifrare Blocare Înlănțuire Mesaj Autentificare Cod Cod Protocol, care se scurtează la Contor Mod CBC-MAC Protocol sau CCM mode Protocol sau CCMP. ?

Mod CCM este în esență o combinație de câteva idei bune. Oferă confidențialitatea datelor prin Modul CTR sau modul contor. Pentru a simplifica excesiv, acest lucru adaugă complexitate datelor cu text simplu prin criptarea valorilor succesive ale unei secvențe de numărare care nu se repetă.

CCM se integrează, de asemenea CBC-MAC, o metodă de cifrare bloc pentru construirea unui MAC.

AES în sine este pe o bază bună. Specificația AES a fost stabilită în 2001 de Institutul Național de Standarde și Tehnologie din SUA (NIST). Ei și-au făcut alegerea după un proces de selecție competitivă de cinci ani, în timpul căruia au fost evaluate cincisprezece propuneri pentru proiectarea algoritmilor.

Ca urmare a acestui proces, a fost selectată o familie de cifre numită Rijndael (olandeză), iar un subset al acestora a devenit AES.

Mai bine de două decenii, AES a fost folosit pentru a proteja traficul de internet zilnic, precum și anumite niveluri de informații clasificate în guvernul SUA.

In timp ce posibile atacuri asupra AES au fost descrise, niciunul nu s-a dovedit încă a fi practic în utilizarea reală. Cel mai rapid atac asupra AES în cunoașterea publică este o atac de recuperare cheie care sa îmbunătățit cu AES cu forță brută cu un factor de aproximativ patru. Cât ar dura? niste miliarde de ani.

Wi-Fi Protected Access III (WPA3)

Ilustrație WPA3

Următoarea tranșă a trilogiei WPA a fost necesare pentru dispozitivele noi începând cu 1 iulie 2020. Se așteaptă să îmbunătățească în continuare securitatea WPA2, Standard WPA3 încearcă să îmbunătățească securitatea parolelor, fiind mai rezistent la lista de cuvinte sau atacuri de dicționar.

Spre deosebire de predecesorii săi, WPA3 va oferi, de asemenea secretul înainte. Acest lucru adaugă avantajul considerabil al protejării informațiilor schimbate anterior chiar dacă o cheie secretă pe termen lung este compromisă.

Secretul înainte este oferit deja de protocoale precum TLS, utilizând chei asimetrice pentru a stabili chei partajate. Puteți afla mai multe despre TLS în această postare.

Deoarece WPA2 nu a fost depreciat, atât WPA2, cât și WPA3 rămân opțiunile dvs. de top pentru securitatea Wi-Fi.

Dacă celelalte nu sunt bune, de ce sunt încă în jur?

S-ar putea să vă întrebați de ce punctul dvs. de acces vă permite chiar să alegeți o altă opțiune decât WPA2 sau WPA3. Motivul probabil este că folosești hardware vechi, ceea ce oamenii de tehnologie numesc routerul mamei tale.

Deoarece deprecierea WEP și WPA a avut loc destul de recent, este posibil în organizațiile mari, precum și în casa părinților dvs., să găsiți hardware mai vechi care încă folosește aceste protocoale. Chiar și hardware-ul mai nou poate avea o nevoie de afaceri pentru a susține aceste protocoale mai vechi.

Deși este posibil să vă pot convinge să investiți într-un nou dispozitiv Wi-Fi strălucitor, cele mai multe organizații sunt o poveste diferită. Din păcate, mulți pur și simplu nu știu încă rolul important pe care îl joacă securitatea cibernetică în satisfacerea nevoilor clienților și în stimularea acestui rezultat.

În plus, trecerea la protocoale mai noi poate necesita noi actualizări hardware sau firmware interne. În special pe sistemele complexe din organizațiile mari, actualizarea dispozitivelor poate fi dificilă din punct de vedere financiar sau strategic.

Sporiți-vă securitatea Wi-Fi

Dacă este o opțiune, alegeți WPA2 sau WPA3. Securitatea cibernetică este un domeniu care evoluează în fiecare zi, iar blocarea în trecut poate avea consecințe cumplite.

Dacă nu puteți utiliza WPA2 sau WPA3, faceți tot posibilul pentru a lua măsuri de securitate suplimentare.

Cel mai bun bang pentru dolarul dvs. este să utilizați o rețea privată virtuală (VPN). Utilizarea unui VPN este o idee bună, indiferent de tipul de criptare Wi-Fi pe care îl aveți. Pe Wi-Fi deschis (cafenele) și folosind WEP, este iresponsabil să rămâi fără VPN.

Este ca și cum ai striga detaliile bancare pe măsură ce îți comanzi al doilea cappuccino.

Un desen animat cu strigarea detaliilor dvs. bancare la un magazin de cafea.

Alegeți un furnizor VPN care oferă o caracteristică precum un switch de blocare care vă blochează traficul de rețea dacă VPN-ul dvs. este deconectat. Acest lucru vă împiedică să transmiteți accidental informații pe o conexiune nesigură, cum ar fi Wi-Fi deschis sau WEP. Am scris mai multe despre primele mele trei considerații pentru alegând VPN-ul meu în această postare.

Când este posibil, asigurați-vă că vă conectați numai la rețele cunoscute pe care dvs. sau organizația dvs. le controlați.

Multe atacuri de securitate cibernetică sunt executate atunci când victimele se conectează la un imitație de punct de acces Wi-Fi public, numit și un atac dublu rău sau phishing Wi-Fi.

Aceste hotspot-uri false sunt ușor create folosind programe și instrumente accesibile publicului. Un VPN poate ajuta la atenuarea daunelor cauzate de aceste atacuri, dar este întotdeauna mai bine să nu vă asumați riscul.

Dacă călătoriți des, luați în considerare achiziționarea unui hotspot portabil care utilizează un plan de date celular sau utilizarea cardurilor SIM de date pentru toate dispozitivele dvs.

Mult mai mult decât doar acronime

WEP, WPA, WPA2 și WPA3 înseamnă mult mai mult decât o grămadă de litere similare – în unele cazuri, este o diferență de miliarde de ani minus aproximativ 60 de secunde.

Într-o perioadă mai actuală, sper că v-am învățat ceva nou despre securitatea Wi-Fi-ului și despre cum îl puteți îmbunătăți!

Dacă ți-ar plăcea această postare, mi-ar plăcea să știu. Alăturați-vă miilor de oameni care învață împreună cu mine victoria.dev! Vizitați sau abonați-vă prin RSS pentru mai multe programări, securitate cibernetică și glume cu tatăl din desene animate.