Oggi dovevo digitare la stessa password per collegarmi a una rete WiFi protetta da WPA2 diverse volte, e mi sono davvero infastidito dalla lunghezza della password. Soprattutto perché è solo una frase ripetuta due volte.
Quindi, quando utilizzi WPA2 con un router WiFi, è sempre più sicuro usare password più lunghe?
Un breve paragrafo di un'altra risposta che ho qui copre praticamente questo, anche se non in modo molto dettagliato:
La quantità di protezione offerta dall'implementazione di una password in qualsiasi sistema varia sempre in proporzione diretta alla complessità della password e allo sforzo compiuto per proteggere tale password. Le reti wireless non fanno eccezione.
Laddove è in uso un meccanismo di hashing strong, le password più lunghe e complesse invariabilmente ti metteranno in una posizione di sicurezza migliore. Ti suggerisco caldamente di leggere alcune delle altre password domande che abbiamo qui. Uno di particolare interesse è:
XKCD # 936: password complessa breve, o passphrase del dizionario lungo?
Si noti tuttavia che la PSK di una rete WPA2 è efficace solo quando WPS è disabilitato o non supportato sull'AP. I recenti attacchi di canale laterale consentono a un utente malintenzionato di interrompere WPS in un tempo relativamente breve e di raccogliere il PSK WPA2 direttamente dall'AP senza dover effettivamente crackare il PSK stesso.
Dipende, ma in generale: sì.
Per attaccare una chiave WPA2 (e considerando che WPS è disattivato!) devi forzarla, quindi più a lungo la chiave è tanto più lunga.
Suggerimento: ho una chiave di tre lettere e posso elaborare circa 5 parole al secondo per l'AP (fittizio). Una parola può essere composta da 24 lettere e 10 numeri. Quindi le tue possibilità sono (24 + 10) ^ 3 = 39304. Se aggiungiamo una lettera otteniamo: (24 + 10) ^ 4 = 1336336 possibilità. Ci vorranno 37 volte di più per elaborare tali possibilità.
Più lunga è la frase, più possibilità ci sono, più tempo ci vuole per attaccare un AP.
Nota: TUTTAVIA, se prendi le parole normali, devi pensare agli attacchi del dizionario. Usano solo un dizionario e testano tutte le parole lì, riduce significativamente le possibilità.
È sempre più sicuro? No, anche se di solito è.
Come controesempio, 1234567890 è molto più debole di B9xZbA sei caratteri alfanumerici generati casualmente, nonostante sia più lungo. La differenza è il contenuto di entropia informativo della password. Fondamentalmente, quando lo spazio di campionamento di una password creata allo stesso modo è più piccolo, la password è più facile da decifrare. Questi tipi di calcoli sono un po 'difficili da fare in pratica, ma alcuni punti generali possono essere appresi. Espandere lo spazio degli elementi scelti a caso è meno efficace di aumentare la lunghezza della password. Ad esempio, una password minuscola di 10 caratteri (26 lettere) di caratteri casuali ha 26 10 ~ 10 14 password possibili, mentre una password di 8 cifre che mescola casualmente caso (52 lettere maiuscole e minuscole) ha 52 8 ~ 5 x 10 13 la password può essere violata in circa la metà delle volte.
Come esempio migliore per una password wifi, in genere si desidera una passphrase ad alta entropia. Le passphrase possono essere più facili da ricordare rispetto a una password equivalente. Diceware è un buon modo per generare una passphrase. Ho appena generato glory pew golf iambic clip fee in pochi secondi con un generatore di numeri casuali. Ogni parola è stata generata da 5 rotoli di dado (6 5 ~ 7776 scelte), quindi sei parole (6 30 ~ 10 23 ) passphrase impiegherebbe circa un miliardo di volte in più rispetto alla forza bruta di dieci caratteri minuscoli. Una password in minuscolo equivalente sarebbe ~ 17 caratteri minuscoli vjdipotnbwpnzjvzr o ~ 14 caratteri misti ( tkydzwULzRzSFs ) o ~ 12 caratteri maiuscoli e caratteri speciali ( Unsv9[}[g2Pk ).
Ora quando hai una password che rientra in un pattern facile come 1234567890 l'entropia è molto bassa; ad esempio, potresti dire che hai una scelta per il carattere di inizio (80 scelte), e il modo in cui ascendi o discendi i caratteri (diciamo 4 possibilità) e la lunghezza della password (diciamo 1-30 caratteri). Questo ha 80x4x30 = 9600 ~ 10 3 è 10 miliardi di volte più facile da decifrare di dieci cifre casuali. Si potrebbe dire, beh questo sarebbe rotto solo se l'algoritmo per le ricerche di cracking per questo tipo di speciale tipo di password, e questo è vero. Ma non è difficile inizialmente verificare alcuni di questi tipi di password (ed è molto più probabile che questi tipi di password compaiano negli elenchi di password trapelate).
Allo stesso modo, se scelgo una frase significativa come l'entropia è molto più bassa, poiché ci sono piccoli elenchi di frasi significative che un attaccante in linea di principio potrebbe usare nei loro attacchi.
Devi anche assicurarti che non ci siano altri attacchi contro il sistema, ad es., stai utilizzando WEP o WPS o un altro sistema danneggiato, quindi la complessità della tua password è irrilevante.
Questo post parla di forzatura bruta di un WPA parola d'ordine. La risposta breve è: sì, è più sicuro avere una password più lunga. La domanda è la convenienza relativa di avere una password più breve con una più sicura - se è la tua casa wifi, probabilmente non hai bisogno di una password lunga e folle, ma se è qualcosa di più importante, dovresti pensarci due volte.
In generale si, tuttavia, consiglio di non usare mai parole nella password e di impiantare un filtro per indirizzi MAC. È ancora possibile penetrare? Sì, ma nella maggior parte dei casi chi vorrebbe preoccuparsi di una lunga password e del filtro degli indirizzi MAC. Poi di nuovo c'è il Pineapple WiFi: link I dongle 3G o 4G sono molto più sicuri, ma tutto dipende ancora dall'applicazione e dal budget completi.
Le risposte hanno già spiegato di più. In pratica, quanto tempo deve essere? Probabilmente più lungo di quello che la persona media usa nella pratica, ma meno di alcuni dei suggerimenti visti sul web. Ho deciso di scoprire una dimensione ragionevolmente sicura che sia ancora abbastanza facile da gestire. Per me sarebbe abbastanza sicuro che un avversario con accesso a 10 PC top di gamma in 5 anni (il tempo per cui manterrò la password) avrà ancora solo il 2% di possibilità di crackare la password in 1 mese. Regola i numeri come preferisci. Un avversario molto potente può avere accesso a una maggiore potenza di calcolo, ma sarà improbabile utilizzarlo per un mese intero.
Secondo hashcat, un PC top di gamma con 8 schede grafiche top of the range riesce a controllare oltre 2,2 milioni di passphrase (in realtà: hash) al secondo. Se supponiamo che le prestazioni raddoppino ogni anno, in 5 anni, 1 PC superiore sarà in grado di controllare 71 milioni di hash al secondo. Quindi 10 di questi PC potrebbero fare 714 milioni di hash al secondo, o circa 1.879.149.888.000.000 di hash in 1 mese. Dal momento che richiediamo solo il 2% di probabilità che la password venga violata, è necessario disporre di una regola per la creazione di password che consenta 93.957.494.400.000.000 di possibilità.
Quindi, se si utilizza una passphrase veramente casuale, è possibile scappare con 12 lettere minuscole o 9-10 caratteri alfanumerici (lettere maiuscole e minuscole più cifre). Mi piacciono le lettere minuscole, dato che puoi digitarle facilmente sul tuo dispositivo mobile. Ma non è assolutamente necessario utilizzare passphrase di 50 caratteri eccessivamente complessi che utilizzano tutti i tipi di caratteri speciali.
Inoltre, se non sei a conoscenza: devi usare un ESSID che non è abbastanza comune che qualcuno abbia già calcolato una tabella arcobaleno.
In generale, si! È più sicuro avere una password più lunga poiché più caratteri ha la password, la complessità viene aggiunta rendendo così più difficile agli hacker indovinarlo usando alcuni degli strumenti disponibili.