Come operatore di un AP importante, ad es. Edificio per uffici degli sviluppatori di Stack Overflow, posso:
Funzionerebbe?
Cambiare il PSK non ha assolutamente alcun effetto su KRACK. KRACK non consente a un utente malintenzionato di accedere a PSK. KRACK è un attacco al processo che scambia il PTK / GTK tra il client e l'AP. Un attacco riuscito consentirà all'utente malintenzionato di calcolare il PTK molto più facilmente (o nel caso di client molto corrotti impostare il PTK su tutti gli 0). Ciò accadrà indipendentemente dall'aspetto del PSK e la modifica del PSK non modifica questo attacco in alcuna forma.
Se ritieni che una connessione tra client e AP sia compromessa, è sufficiente disconnettere il client e ricollegarlo è sufficiente per generare un nuovo PTK. Assicurati solo che la connessione non venga successivamente attaccata e compromessa.
Se vuoi proteggere i tuoi "target di alto valore", dovresti:
Anche se monitorizzi attivamente nuovi handshake, deauth frame e AP rogue in wireshark per identificare l'attacco, non puoi comunque impedire a attacker di avviare KRACK sui tuoi client.
Cambiare effettivamente il PSK e chiedere ai tuoi clienti di disconnettersi una volta identificato l'attacco è utile per l'attaccante e non per te perché l'attaccante sta anche monitorando l'handshake e gli stai dando l'opportunità di bloccare il messaggio 4 della stretta di mano.
Una volta bloccato il messaggio 4, l'AP invierà di nuovo il messaggio 3 e nonce verrà ripristinato . In caso di Android e Linux che utilizzano wpa_supplicant v2.4 / 2.5 la chiave di crittografia temporanea viene impostata anche su chiave di crittografia zero .
La modifica di PSK chiederà automaticamente ai tuoi clienti di eseguire nuovamente l'autenticazione e ora l'utente malintenzionato può intromettersi nell'handshake senza tentare di esternalizzare i client.