Sicurezza delle reti wireless non criptate con pagina di autenticazione

11

Alcune reti wireless, come quelle offerte da hotel e hotspot, non sono crittografate (non richiedono una passphrase per connettersi) ma hanno una pagina web di autenticazione. Ad esempio, ti connetti a una rete aeroportuale non protetta e ti chiede di accedere utilizzando le credenziali che ti sono state fornite quando hai pagato con la tua carta di credito.

Quanto sono sicuri questi tipi di reti? Immagino che, poiché la connessione tra il client e il router non è crittografata, e poiché l'autenticazione non significa crittografia, sarebbe del tutto possibile sniffare lo scambio di dati. Ma se non è sicuro, perché così tante università, hotel e hotspot aeroportuali usano questo sistema?

    
posta InvalidBrainException 24.10.2011 - 07:47
fonte

2 risposte

5

La pagina in cui inserisci i tuoi dati di accesso è probabilmente protetta con HTTPS. Finché HTTPS non viene compromesso, i dati di accesso dovrebbero essere abbastanza sicuri. Se non è presente un HTTPS, non fornirei dettagli della carta di credito o qualcosa di simile (anche se un codice di accesso usa e getta acquistato presso la hall dell'hotel non rappresenta un grosso rischio - nel peggiore dei casi, si perde parte del credito acquistato).

Si noti che la crittografia wireless di per sé non fornisce molta sicurezza in questo scenario: WPA2 ei suoi fratelli hanno lo scopo di impedire l'accesso non autorizzato alla rete, ma poiché le credenziali di accesso sono le stesse per tutte le macchine e non esiste alcuna affidabilità in modo da consentire la selezione selettiva di singole macchine (gli indirizzi MAC possono essere facilmente falsificati), le credenziali su una rete alberghiera crittografata sarebbero comunque visibili a tutti gli altri sulla stessa rete wireless. Metterebbe un intercettatore silenzioso (passivo) fuori dalla rete dall'ascoltare la conversazione.

    
risposta data 25.10.2011 - 11:08
fonte
3

Avresti ragione nel ritenere che una connessione non criptata che consente l'accesso tramite reti wireless sia molto probabilmente insicura.

Per quanto riguarda il motivo per cui lo fanno, direi che potrebbe essere una combinazione di mancanza di consapevolezza dei rischi posti, con la mancanza di incentivi per implementare le mitigazioni, con un basso impatto potenziale di una violazione.

Ad esempio, se affermiamo che le credenziali fornite dall'istituzione sono valide solo a tale scopo (utilizzando l'accesso wireless acquistato), se un utente malintenzionato le compromette, il probabile limite della perdita è che l'accesso wireless, non necessariamente un grande quantità. Se accade di rado, il costo potenziale complessivo potrebbe essere inferiore al costo per implementare la contromisura (crittografia).

Se l'istituto ha avuto un numero elevato di incidenti fino al punto in cui gli utenti legittimi hanno iniziato a lamentarsi (supponendo che il compromesso gli abbia fatto perdere l'accesso), probabilmente avrebbero un incentivo a fornire la crittografia per proteggere le credenziali sulla rete wireless.

    
risposta data 24.10.2011 - 13:04
fonte

Leggi altre domande sui tag