Password nella protezione dei dispositivi di rete

Naviga le tue risposte
2

Non faccio nulla con IT aziendale e networking, ma conosco abbastanza per gestire e far funzionare le reti. Ad ogni modo, qualcosa che ho incontrato nei miei viaggi quando si tratta delle occasioni di lavorare su singoli computer e piccole reti quando si tratta di proteggere dispositivi che hanno un'esposizione Internet o wireless.

Sono un principiante assoluto in questi argomenti e ciò che è meglio, quindi ho pensato di leggere e avere alcune idee di base su buone pratiche di sicurezza, ma ho comunque trovato alcune domande a cui non è stata data una risposta solida:

  1. Quali sono le regole per l'immissione di password in stile WPA nella maggior parte dei dispositivi? Potresti scappare con qualsiasi carattere stampabile standard in questi dispositivi o ci sono alcune restrizioni (stringhe esadecimali, alcuni caratteri non permessi)? Non trovo davvero alcuna buona documentazione su questo.

  2. Ci sono delle buone regole per ciò che rende una buona password "strong" in termini di entropia? Ho trovato siti come link che sembrano essere un buon punto di riferimento, ma in realtà non ho trovato alcuna regola valida che qualifichi qualcosa come un " password complessa ideale "in un senso universale. C'è anche il metodo casuale del carattere stampabile e poi il metodo xkcd .

  3. Dato che nella maggior parte dei casi penso che tutto ciò che accadrà con questi dispositivi dopo il fatto è che le persone (principalmente me stesso con le mie cose, ma anche altri, pensano cose di rete domestiche) useranno direttamente Internet o loro computer portatili per connettersi a Internet, la password non deve necessariamente essere facile da ricordare e facilmente riproducibile, quindi il mio pensiero è che qualsiasi password impostata su questi dispositivi possa essere stampata, scritta e archiviata, nel caso in cui è necessario tornare su questi dispositivi dopo averli configurati. Questo sembra intelligente, o c'è qualcosa che mi manca?

  4. Dato che sono più incline alla programmazione che al networking in generale nelle mie esperienze, mi è venuto in mente un generatore di password, che al momento esegue solo caratteri stampabili casuali di determinate lunghezze con poche regole. Ci sono suggerimenti su cosa fare per rendere l'output di questo programma "gold standard"?

Potrei pensare completamente al problema della password, ma la cosa che noto che è comune a tutti questi casi è che si tratta di dispositivi che generalmente non avranno alcuna attenzione su di essi finché funzionano correttamente (in pratica a casa usare - finché mi ottiene su Internet sono felice). In questo modo, voglio imparare come creare qualcosa con cui ho a che fare relativamente a prova di bomba quando si tratta di qualcuno che potrebbe voler accedervi e non completamente chiaro sulla fine della password.

    
posta Glenn1234 07.11.2012 - 11:03
fonte

3 risposte

3

Per rispondere rapidamente a questi:

  1. Per lo più senza limiti, supponendo che stiamo parlando di WPA2. La password passa attraverso un algoritmo di derivazione della chiave, quindi la chiave è una dimensione fissa indipendentemente dalla lunghezza della password. Alcuni produttori di dispositivi possono porre limiti di flessibilità sui loro pannelli di controllo, ma questi sono di solito piuttosto rilassati. Eviterei comunque caratteri unicode, dal momento che non sono sempre identici in termini di codifica su sistemi diversi.
  2. Fintanto che la tua password è abbastanza complessa e abbastanza lunga , impedirà la rottura della chiave WPA2. Quale "sufficiente" dipende dai tuoi requisiti di sicurezza, ma direi che 12 caratteri a-z A-Z 0-9 (3.22 × 10 21 keyspace) dovrebbe essere più che sufficiente, a patto che sia ragionevolmente casuale . È altamente improbabile imbattersi in aggressori che usino complesse analisi statistiche per testare "probabilmente" le password casuali per primo - la maggior parte di loro non farà altro che un attacco di dizionario.
  3. La pratica standard nella maggior parte degli ambienti aziendali è quella di archiviare in una cassastrong copie cartacee di credenziali mission-critical. Se si desidera archiviare tali backup, investire in sicurezza fisica. Il tuo cassetto della scrivania non è in realtà particolarmente sicuro, ma è a casa tua e la tua casa ha le serrature. Sei veramente preoccupato per gli aggressori che irrompono in casa tua per rubare la tua password wifi?
  4. Non preoccuparti. Per cominciare, ci sono centinaia di generatori di password là fuori che già lo fanno; keepass ne ha una buona Ancora più importante, non è necessario preoccuparsi di password casuali crittograficamente forti: basta selezionare manualmente "casualmente" o utilizzare un generatore esistente se si è paranoici. Non è necessario fare altro se non stai proteggendo i dati mission-critical.

Tutto sommato, sembra che tu stia pensando troppo. La tua principale minaccia sono gli attacchi dizionario, che puoi contrastare non utilizzando password o parole del dizionario comuni.

    
risposta data 07.11.2012 - 11:32
fonte
2

Contatori password (come i siti che potresti trovare) non sono adatti a misurare la entropia della password, nonostante ciò che affermano. Gli esseri umani non sono bravi né a produrre l'entropia. Entropia (in questo contesto) è una caratteristica del processo di generazione della password , non della password risultante. Ciò che conta per entropia non è ciò che il valore della password è , ma quale potrebbe essere stato e, per definizione, questo non può essere dedotto dalla sola password.

Per generare una password complessa, utilizzare un computer. Su qualsiasi sistema Linux, questo comando: 

dd if=/dev/urandom bs=9 count=1 | openssl base64 -a -e

genererà password con 72 bit di entropia, che è più che sufficiente per contrastare gli attaccanti (non è necessario mantenere il segno '=' finale). L'idea è semplice: ottieni 9 byte casuali (da /dev/urandom , che è un generatore di numeri casuali crittograficamente strong) e quindi li codifichi in un formato adatto per l'immissione su una tastiera ( Base64 utilizza solo lettere, cifre," / "e" + ", con 4 caratteri per 3 byte di input, poiché iniziamo con 9 byte casuali, finiamo con 12 -character password).

I caratteri usati dalla codifica Base64 dovrebbero funzionare "ovunque"; in particolare, è possibile digitarli su tastiere straniere o su smartphone e non soffriranno dei soliti problemi di codifica che si ottengono con lettere accentuate (o semplicemente con caratteri che vanno al di là di quello che usano gli americani, ad esempio ASCII). Per WiFi, WPA2 accetta password lunghe con caratteri arbitrari; e se non utilizzi WPA2 per il tuo WiFi allora stai sbagliando.

Annotare le password è un compromesso: se scritto, è necessario garantire sicurezza fisica ; d'altra parte, ti permette di usare molte più password di quante tu possa ricordare, specialmente le password che non scrivi spesso (tipico delle password WiFi). Basta salvarli in un luogo sicuro, il che significa, sì, una cassastrong, o forse una "cassastrong portatile", comunemente nota come "portafoglio". La cassastrong non ha bisogno di essere molto più strong di quella che protegge.

Un'opzione sarebbe quella di scrivere la password su una carta incollata sotto il punto di accesso stesso. Che questa sia una buona idea o meno dipende dall'ambiente fisico dell'AP. Fondamentalmente, chiunque abbia accesso fisico all'AP può fare molto male, incluso il semplice collegamento del proprio dispositivo alle prese Ethernet che la maggior parte degli AP offre. Ovviamente, con la password scritta sotto l'AP, un utente malintenzionato che ha accesso transitorio può apprendere la password e non la si noterà. Ma vale la pena considerare, ad es. per un router di casa (se un utente malvagio vede la password, allora è nella tua casa , a quel punto potresti avere più problemi urgenti da affrontare rispetto alla semplice sicurezza WiFi).

La maggior parte delle "regole" per le password " (come il famoso" metodo xkcd ") riguardano la produzione di password che si adattano al cervello umano o possono essere generate nel cervello umano. Questa è dura. Ciò si traduce spesso in scarsi compromessi tra password deboli, molto lunghe, difficili da ricordare e / o difficili da scrivere. Il colpevole è il cervello umano. È molto più semplice rimuoverlo dall'equazione.

(TODO: scrivere un generatore di password di una riga PowerShell, per gli utenti di Windows. Non è difficile, ma al momento non ho una macchina Windows.)

    
risposta data 09.11.2012 - 13:20
fonte
0

Un'alternativa alla scrittura di password è quella di memorizzare i suggerimenti per la password anziché le password stesse. Un'altra tecnica è quella di memorizzare le password su un'unità UBS crittografata. Questi sono entrambi menzionati in link .

È anche noto che i cracker di password utilizzano elenchi che sono ora ottimizzati e aggiornati per correlare il modo in cui gli esseri umani creano password e l'ipotesi è molto più efficiente rispetto ai metodi precedenti basati sui dizionari standard e le modifiche associate. Anche la lunghezza della password è molto importante, soprattutto assicurandosi che sia lunga 8 caratteri o più. Questo è discusso in link .

    
risposta data 09.11.2012 - 23:42
fonte

Leggi altre domande sui tag

Bad planning che causa password deboli L'entropia della password corrisponde a un alfanumerico, ma nella password sono presenti caratteri speciali