Comments 5
>В организациях особенно важно уделять должное внимание беспроводным сетям, а слабые пароли составляют основную угрозу безопасности.
Именно по этой причине в организациях никогда не используют WPS (это еще и с точки зрения настройки ад, потому что обычно все-таки администратор не станет заниматься подключением новых устройств, и синхронизировать его действия с пользователем нереалистично). Для чего-то важного — 802.1x, двухфакторный с токеном в идеале, можно просто по логину/паролю. Для какой-нибудь гостевой сети, где допустима утечка ключа, можно и wpa2-personal задействовать.
Именно по этой причине в организациях никогда не используют WPS (это еще и с точки зрения настройки ад, потому что обычно все-таки администратор не станет заниматься подключением новых устройств, и синхронизировать его действия с пользователем нереалистично). Для чего-то важного — 802.1x, двухфакторный с токеном в идеале, можно просто по логину/паролю. Для какой-нибудь гостевой сети, где допустима утечка ключа, можно и wpa2-personal задействовать.
После небольшого разбора исходников pyrit — не понимаю как можно вообще использовать wpa/wpa2 в организациях, не говоря уже о WPS…
Заголовок спойлера
Сразу вспоминается статья
Можно больше конкретики? Насколько мне известно, WPA2 кроме как брутфорсом взломать невозможно, а WPS как раз и облегчает использование сложных и длинных паролей для WPA2. Конечно, WPA использовать нельзя.
WPS — уязвим. При хорошем сигнале — подбор pin-code занимает от 3-х до 7-ми часов, а далее точка доступа сама отдает пароль. Решение, которое напрашивается — менять pin каждые 30 минут, или активировать его лишь при необходимости. Во втором случае — на некоторых клиентских устройствах запрашивается пароль от сети, т.к. изменились её параметры.
[paranoia]
Pyrit — позволяет подбирать пароли к WPA/WPA2 брутфорсом с помощью GPGPU. Хотя он не удобен в плане конфигурации — позволяет использовать несколько компьютеров для этой цели одновременно. Мой ноутбук, далеко не топовой конфигурации, позволяет считать около 30k PMKs/s. Стоит посмотреть в сторону неплохих видеокарт, или Amazon AWS в эту сторону — и мне становиться страшно думать о том, как устроены сети в гос. организациях, небольших банках, или страховых фирмах, где люди часто оставляют копии своих документов. Пара GPU AMD HD7970 — считают около 220-230 PMKs/s
Когда вижу 802.1x — чувствую себя намного спокойнее… :)
[/paranoia]
[paranoia]
Pyrit — позволяет подбирать пароли к WPA/WPA2 брутфорсом с помощью GPGPU. Хотя он не удобен в плане конфигурации — позволяет использовать несколько компьютеров для этой цели одновременно. Мой ноутбук, далеко не топовой конфигурации, позволяет считать около 30k PMKs/s. Стоит посмотреть в сторону неплохих видеокарт, или Amazon AWS в эту сторону — и мне становиться страшно думать о том, как устроены сети в гос. организациях, небольших банках, или страховых фирмах, где люди часто оставляют копии своих документов. Пара GPU AMD HD7970 — считают около 220-230 PMKs/s
Когда вижу 802.1x — чувствую себя намного спокойнее… :)
[/paranoia]
В статье как раз написано, что Mikrotik не использует PIN-код в своей реализации WPS, и это правильно, не смотря на то, что многие производители уже исправили прошивки и подбор PIN-кода невозможен даже когда он включен (добавляются задержки между попытками и перебор становится бессмысленным). Брутфорс сложного пароля WPA2 (например 32 символа) тоже становится бессмысленным на любом оборудовании, не важно сколько видеокарт будут над этим работать и какие радужные таблицы будут использоваться. Согласен, что сейчас с большинством беспроводных сетей ситуация печальная, но не всегда есть смысл заморачиваться с 802.1x, для небольших организаций вполне хватит WPA2 и сложного пароля, которого пользователь благодаря WPS даже знать не будет.
Sign up to leave a comment.
Удобное использование WPS в Mikrotik