WPA3,第三代Wi-Fi安全,有一个巨大的缺陷:你


iSpeech

华擎X10物联网路由器

很少有人过分担心Wi-Fi安全问题,很高兴能够连接到公共无线网络,甚至无法保护自己的家庭网络。只要它有密码,我们认为我们是安全的。

像往常一样,保持自己的安全绝不像看起来那么容易。密码保护是称为Wi-Fi保护访问(WPA)的系统的一部分,它将以WPA 3的形式获得更高的安全性。尽管它带来了改进,但WPA永远不会成为银弹。

自第一次WPA启动以来,它存在一些严重的缺陷。在我们面对这些问题之前,我们的无线网络将始终在其保护墙上留下一个漏洞。

杀龙

密码和加密保护是WPA2创建和扩散的重点,并确保我们大多数人在将无数现代设备连接到Wi-Fi网络时保持安全。但WPA2有严重的缺陷,WPA3旨在修复。

在WPA2使用预共享密钥交换和较弱加密的情况下,WPA3升级到128位加密并使用称为同时身份验证(SAE)的系统,俗称为Dragonfly握手。它强制网络交互潜在的登录,从而使黑客无法通过下载其加密哈希然后运行破解软件来破解登录,并让他们使用其他工具来窥探网络活动。

但Dragonfly和WPA3本身也容易受到自身的一些危险缺陷的影响,并且自从WPA保护网络诞生以来,一些最糟糕的缺陷已经出现在WPA保护网络中。这些漏洞利用已经在Dragonblood的旗号下收集,除非得到解决,否则它们可能意味着WPA3并不比WPA2更安全,因为用于规避其保护的方法并没有真正改变。

Mathy Vanhoef在他的Dragonblood博览会中突出了六个问题,但几乎所有问题都是通过一种古老的Wi-Fi黑客攻击技术实现的。

你看起来很相像......

Wi-Fi 20年来最大的缺陷就是你,我,我的妹妹(不是技术人员)都可以通过使用我们的手机发动邪恶的双胞胎攻击,“ WatchGuard Technologyies产品管理总监Ryan Orsi告诉Digital Trends。 “[比方说]你有一部智能手机,从口袋里拿出来,走进你的办公室,它有一个受WPA3密码保护的Wi-Fi网络。你看看那个Wi-Fi网络的名称[...],如果你将你的手机名称改为[同名]并打开你的热点,你刚刚发起了邪恶的双胞胎攻击。您的手机正在播放完全相同的Wi-Fi网络。“

Watchgard的Ryan Orsi
WatchGuard产品管理总监Ryan Orsi。 WatchGard

虽然用户连接到你的欺骗,邪恶的双胞胎网络通过使用它提供了大量的信息,但它们可能会进一步削弱他们的安全性。可以使用仅支持WPA2的智能手机进行此攻击。即使潜在受害者可以在他们的设备上支持WPA3,由于WPA3的向后兼容性,您已经有效地将它们降级为WPA2。

它被称为WPA3-Transition Mode,允许网络使用相同的密码操作WPA3和WPA2保护。这对于鼓励人们立即采用WPA3并适应较旧的客户端设备非常有用,但这是新安全标准的一个弱点,让每个人都容易受到攻击。

“你现在已经开始了龙血冲击的开始,”奥尔西继续道。 “你带来了一个邪恶的双接入点,它正在播放一个WPA2版本的Wi-Fi网络,受害设备并不知道其中的区别。这是同一个名字。什么是合法的,哪个是邪恶的双胞胎?设备或人类很难说出来。“

但WPA3的过渡模式并不是潜在降级攻击的唯一弱点。 Dragonblood还包括一个安全组降级攻击,允许使用邪恶双胞胎攻击的人拒绝WPA3安全保护的初始请求。然后,客户端设备将尝试使用其他安全组再次连接。伪网络可以简单地等到使用不充分的安全性进行连接尝试并接受它,从而大大削弱了受害者的无线保护。

正如Orsi强调的那样,恶意孪生攻击已经成为Wi-Fi网络十多年来的一个问题,尤其是那些用户可能不知道他们计划提前连接的网络名称的公共attacks。 WPA3对此没有什么作用,因为问题不在于技术本身,而在于用户区分合法网络和虚假网络的能力。设备Wi-Fi菜单中没有任何内容表明哪些网络可以安全连接,哪些网络不安全。

根据Dragonblood的作者Mathy Vanhoef的说法 ,只需125美元的亚马逊AWS计算能力 - 运行一个密码破解软件 - 来解码八个字符的小写密码,并且有很多服务甚至可以证明比那更有竞争力。如果黑客可以窃取信用卡或银行信息,那么该投资很快就会被收回。

“如果邪恶的双胞胎在那里,并且受害者与之相连,则会弹出启动页面。一个邪恶的双胞胎的启动页面实际上来自攻击者的笔记本电脑,“Orsi告诉Digital Trends。 “那个启动页面可能有恶意的Javascript或按钮,并且'点击 - 在此同意,请下载此软件以连接到此热点。'”

保持安全,保持安全

“[WPA安全]问题不会得到解决,直到一般消费者可以在他们的设备上看到而不是一个小挂锁来表示密码保护,还有一些其他符号或视觉指示器,说这不是一个邪恶的双胞胎,”奥西说。 “[我们应该]为人们提供一个具有强大技术根源的视觉符号,但他们不必理解它。应该说,这是你可以信任的。在这个Wi-Fi上用信用卡预订酒店,因为它是正确的。“

这样的系统需要IEEE(电气和电子工程师协会)批准它作为新的Wi-Fi标准的一部分。拥有“Wi-Fi”版权的Wi-Fi联盟将需要决定标志,并将更新推送给制造商和软件提供商以利用它。正如我们所知,对Wi-Fi做出这样的改变需要许多公司和组织的巨大承诺。这就是为什么Orsi和WatchGuard 希望与人们签约以表明他们支持新的,值得信赖的无线系统的想法,该系统提供清晰的视觉指示器,帮助人们在Wi-Fi网络上保持安全。

在发生这种情况之前,您仍然可以采取一些措施来保护自己。 Orsi给我们的第一条建议是更新和修补所有内容 - 特别是如果它增加了WPA3的安全性。尽管它存在缺陷,但它仍然比WPA2好得多 - 这就是为什么许多龙血袭击都集中在尽可能降低安全性的原因。

Malwarebytes的Jean-Philippe Taggart也告诉Digital Trends。尽管WPA3可能存在缺陷,但它仍然是升级版。确保您使用的任何WPA3设备也运行最新的固件,这非常重要。这可能有助于缓解早期WPA3版本中出现的一些旁道攻击。

如果您是公共Wi-Fi网络的常规用户(或者即使您不是),Orsi还建议您采取措施使用VPN或虚拟专用网络(以下是如何设置 )。这些通过将其路由到第三方服务器,为您的连接添加了额外的加密和模糊处理层。这可能使本地攻击者更难以在线查看您在做什么,即使他们确实设法访问您的网络。它还会隐藏来自远程攻击者以及可能正在观看的任何三个字母代理商的流量。

在家中保护Wi-Fi时,我们也建议使用强大的网络密码。如果您的密码复杂,冗长且独特,那么许多Dragonblood漏洞使得字典攻击和暴力黑客攻击毫无用处。如果你不确定你会记得它( 这些是最好的 ),请将它存储在密码管理器中。也不经常改变它。您永远不会知道您的朋友和家人是否一如既往地使用您的Wi-Fi密码。

Previous Entries 一台带监视器的新Mac Pro售价11,000美元,并不适合您 Next Entries Apple Mac Pro和Pro Display XDR:初看

發表評論