Hotspot con lo stesso SSID, come funziona l'autorizzazione?

7

La mia università ha una rete wireless con cui accedo con il mio nome utente e password. Sta usando PEAP. Il mio telefono e il mio laptop si connettono automaticamente a questo SSID quando rilevano la rete.

Se qualcuno imposta un hotspot usando lo stesso SSID e il mio telefono o laptop vedono questo SSID, si collegheranno a questa rete, presumendo che sia la rete dell'università. Il login ovviamente fallisce (non mi aspetto che il ragazzo sfacciato che ha creato questo hotspot con un nome strano sia a conoscenza del mio nome utente e password).

In che modo il mio nome utente e password rimangono al sicuro? Per esempio. questo ragazzo non può vedere quale username e / o password sto usando per provare ad accedere alla rete, anche se la rete universitaria è in grado di verificare e consentirmi sulla rete ..

Qualcuno può spiegarmelo?

Grazie!

    
posta Jochem Kuijpers 24.09.2013 - 20:48
fonte

1 risposta

6

Il tuo telefono o laptop non si collegherà automaticamente a quell'AP alternativo, perché anche se ha un SSID conosciuto, ha anche un Indirizzo MAC che non corrisponde necessariamente a quello di casa tua. Se un determinato sistema sarà pronto a ignorare il cambiamento dell'indirizzo MAC dipende da quel sistema (da un esperimento esplicito a casa, posso dire che Windows non si connetterà automaticamente a un SSID conosciuto se il punto di accesso L'indirizzo MAC non corrisponde). Ovviamente, un malvagio aggressore potrebbe averti seguito a casa, fermandosi appena fuori dalla tua porta e registrato l'indirizzo MAC del tuo AP WiFi, in modo da poterlo imitare con il suo AP falso.

Supponendo che il tuo telefono / laptop sia effettivamente connesso, PEAP include SSL / TLS, e questo dovrebbe proteggerti (soggetto ad alcuni avvertimenti, vedi sotto). In sostanza, quando si utilizza PEAP, il client (il dispositivo) apre una connessione SSL con il punto di accesso e procederà all'invio del proprio nome utente e password solo dopo aver debitamente convalidato il certificato del punto di accesso. Ciò simula la situazione con il sito Web HTTPS: il client prima si assicura che parli con il server giusto e invia i dati sensibili solo tramite l'ombrello di crittografia SSL.

Ci sono alcuni punti delicati con la convalida del certificato. Lo stato di revoca probabilmente non verrà controllato, perché il tuo dispositivo sta cercando di ottenere la sua connessione Internet e quindi non sarà in grado per scaricare un CRL ancora. Vedi il protocollo di bozza per i dettagli. Inoltre, non è chiaro come il client vada da "questo è un certificato valido" a "questo è un certificato valido per il punto di accesso con cui intendo parlare". Mi aspetto che la maggior parte dei client WiFi / PEAP registrino il certificato inviato dall'AP alla prima connessione e quindi riconnettersi automaticamente (con l'invio di nome utente e password) solo se l'AP invia ancora lo stesso certificato o un certificato che pubblicizza il certificato stesso nome del server.

    
risposta data 24.09.2013 - 21:14
fonte

Leggi altre domande sui tag