Raccomanda lunghezza per Wi-Fi PSK?

24

Attualmente ho una rete configurata con crittografia WPA2 e AES, la password è lunga 8 caratteri ma è stata generata in modo casuale e non contiene parole del dizionario. Tuttavia sono preoccupato per la crescente potenza dei computer e la loro capacità di rompere gli stretti di mano, in quanto tale stavo considerando di aumentare la lunghezza.

Sono consapevole che posso salire fino a 63 caratteri se fossi estremamente paranoico, ma sfortunatamente devo digitare questa password su telefoni Android e altri dispositivi, quindi preferisco tenerlo ragionevolmente breve per consentire che sia facilmente digitato.

Una password casuale di 16 caratteri sarebbe sufficiente per proteggere una rete crittografata WPA2? Qual è l'attuale raccomandazione per le lunghezze delle password, in particolare per le reti wireless e quale lunghezza della password sarebbe sufficiente per proteggere la mia rete contro un attacco standard?

    
posta Concrete Donkey 04.06.2012 - 22:57
fonte

6 risposte

23

Sì, 16 caratteri è più che sufficiente , se vengono generati casualmente utilizzando un PRNG con funzionalità di crittografia. Se si utilizzano lettere minuscole, maiuscole e cifre e se si genera in modo casuale, una password di 16 caratteri ha 95 bit di entropia. Questo è più che sufficiente. In realtà, 12 caratteri è sufficiente ; che ti dà 71 bit di entropia, che è anche più che sufficiente per la sicurezza contro tutti gli attacchi che gli aggressori potrebbero tentare di attaccare la tua password.

Una volta che la tua password è lunga 12 caratteri o più, è estremamente improbabile che la password sia il link più debole del tuo sistema. Pertanto, non ha molto senso scegliere una password più lunga. Vedo persone che consigliano di usare una password di 60 caratteri, ma non credo che ci sia alcuna base razionale per farlo. La mia opinione è che l'usabilità è molto importante: se rendi il meccanismo di sicurezza troppo difficile da usare, le persone si arrabbieranno e potrebbero essere più riluttanti a usarlo in futuro, il che non è positivo. Un meccanismo sicuro che non viene utilizzato non fa bene a nessuno. Ecco perché preferisco scegliere una password più breve, come 12 caratteri o 16 caratteri di lunghezza, in quanto è perfettamente adeguata e più utilizzabile di una bestia mostruosa di 60 caratteri.

Fai attenzione a come scegli la password. È necessario utilizzare un PRNG potente in crittografia, come /dev/urandom . Ad esempio, ecco un semplice script che uso su Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Non provare a scegliere le password da soli. Le password scelte dall'uomo sono in genere più facili da indovinare rispetto a una password veramente casuale.

Un avvertimento molto importante: ci sono altri problemi oltre la lunghezza della password. È molto importante che disattivi WPS , poiché WPS presenta delle falle di sicurezza importanti . Inoltre, ti consiglio di usare WPA2; evitare WPA-TKIP e non utilizzare mai WEP.

    
risposta data 05.06.2012 - 22:30
fonte
10

Questa domanda è stata posta molte volte prima, una password di 12 caratteri che ha numeri, segni, lettere minuscole e maiuscole impiegherà molto tempo alla bruteforce. Se la tua password non è presente in un dizionario, dovrai utilizzare un attacco bruteforce. Possiamo fare una stima sulla quantità di password provate:

Se hai 94 caratteri possibili (ASCII) e la tua password è lunga 12 caratteri. Quindi avrai:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Con una GPU moderna (l'ho trovata su Tom's Hardware):

Puoi ottenere circa 215.000 ipotesi al secondo. Quindi, se osserviamo quanto ci vorrà:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia per indovinare la tua password (in realtà la metà di tale importo statisticamente).

    
risposta data 05.06.2012 - 01:12
fonte
2

Ho scritto un piccolo script in Perl per te in fondo. Dovresti essere in grado di interpretarlo e ottenere la tua risposta anche con una calcolatrice.

Ricorda che se la tua password è in un dizionario o abbastanza breve da produrre tabelle Rainbow, la forza effettiva è molto più debole che altrimenti sarebbe calcolata. Benchmark PBKDF2 per determinare la velocità con cui una password può essere testata (Lucas indica 215.000 con hardware grafico pesante). Nota che le tabelle Rainbow saranno un fattore se hai un nome SSID comune ("linksys"), ma non lo sarà se hai qualcosa di molto più oscuro.

#!/usr/bin/perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
    
risposta data 05.06.2012 - 16:21
fonte
2

Per questo non esiste davvero una risposta valida per tutti. In breve, si tratta di questo: se si desidera un corretto equilibrio di sicurezza e usabilità che è giusto per te , rendere la password tanto lunga e complessa come si può tollerare.

Personalmente, non ho dubbi sull'impostazione di un PSK di 63 caratteri generato a caso sui miei access point. Sì, potrebbe essere difficile entrare in dispositivi intelligenti e simili. Ma la cosa che continuo a ricordarmi di questo è che ho solo bisogno di inserirla una volta per dispositivo . L'aggiunta di nuovi dispositivi alla mia rete è un evento relativamente raro e insignificante, rispetto alla quantità di tempo in cui utilizzo effettivamente la rete e al miglioramento della sicurezza di una password praticamente indistruttibile.

Se non riesci a vivere con la punzonatura di una password generata a caso da 63 caratteri una volta per dispositivo sulla tua rete, ridimensionala fino a ottenere qualcosa di più facilmente digeribile per te. Forse trovi un modo ragionevole per creare una password lunga, apparentemente casuale, che abbia davvero senso per te. A seconda di quanto lontano vuoi andare per proteggere la tua rete, potresti anche prendere in considerazione aggiunte alla difesa come il filtro degli indirizzi MAC, il partizionamento della rete (es .: firewall tra Wi-Fi e amp; LAN) e VPN.

Per quanto riguarda i consigli generali sulle password (Wi-Fi e altro), ecco il mio suggerimento:

  • minimo di 15 caratteri.
    • Molti standard più vecchi dicono 8, la maggior parte dei nuovi standard dice 12 e alcuni ne raccomandano addirittura 20 o più.
    • Dico 15 come minimo, perché obbliga le versioni precedenti di Windows a non memorizzare l'hash LANMAN insicuro.
  • Utilizza tutti i 4 tipi di carattere.
    • Lettere maiuscole
    • Lettere minuscole
    • Numeri
    • Simboli
  • Evita di includere parole effettive o semplici variazioni di parole nella tua password.
    • "password"
    • "P @ $$ w0rd"
    • ecc.
  • Non scrivere le tue password in basso o memorizzarle in file di testo in chiaro.
  • Non condividere le tue password e non riutilizzare le password ad alta sensibilità su più siti.
risposta data 05.06.2012 - 15:55
fonte
0

Riferimento obbligatorio xkcd .

Ciò che conta davvero è quanta entropia contiene la tua password. Il problema è "entropia rispetto a cosa"? Se la tua password è nel vocabolario di 100 parole dell'attaccante, allora ha meno di 8 bit di entropia anche se utilizza un ampio mix di tipi di caratteri, ad es. Pa $$ w0rd. La regola generale che ho sentito è che l'inglese ha circa 3 bit di entropia per lettera, quindi se non fai qualcosa di stupido, dovresti stare bene con ciel (64/3) = 22 lettere.

Indipendentemente, 8 caratteri non sono sufficienti, come D.W. ha spiegato.

    
risposta data 06.06.2012 - 11:54
fonte
0

Ci sono almeno 2-3 modi per affrontarlo.

SE i dati nella rete sono protetti da qualche tipo di regolamento (HIPAA, PCI, ecc.), allora esagererei e farei tutto ciò. Sono sicuro che c'è di più, ma questo è tutto ciò che riesco a pensare fuori di testa.

  1. Tutti i personaggi con cui puoi soffrire.
  2. Disattiva WPS dal momento in cui il reaver può craccarlo in circa 10 ore.
  3. Effettua sondaggi wireless per tutti i tuoi AP e abbassa le impostazioni di alimentazione in modo da non ricevere segnali dall'esterno dell'edificio. (Uso l'analizzatore wireless per Android sul mio telefono o inSSIDER www.metageek.net/products/inssider/ per il tuo laptop)
  4. Blocca gli indirizzi MAC (anche se possono essere falsificati potrebbe aiutare a scoraggiare gli skiddies)
  5. controlla link hanno alcune interessanti teorie sulla sicurezza aggiuntiva per WEP / WPA.
  6. Verifica l'accesso alla tua rete specificando i tentativi di accesso e utilizzo di un ACL per non consentire più di X tentativi di connessione.
  7. non trasmetti il tuo SSID, anche in questo caso prevarrà agli script kiddies dal tentativo di accedere alla tua rete.

Qual è la marca / modello del router?

    
risposta data 05.06.2012 - 20:55
fonte

Leggi altre domande sui tag