Wpa3 blijkt vatbaar voor aanval om wifi-wachtwoord te kraken

Onderzoekers van onder andere de KU Leuven beschrijven een aanval op de handshake van het wpa3-Personal-protocol waarmee wifi-wachtwoorden te achterhalen zijn. De handshake blijkt enkele ontwerpfouten te bevatten.

De Wi-Fi Alliance heeft een beveiligingsupdate voor wpa3 aangekondigd en bedankt de onderzoekers, Mathy Vanhoef van de New York University Abu Dhabi en Eyal Ronen van de Tel Aviv University en KU Leuven voor de ontdekking en de melding. Dit zorgt er volgens de organisatie voor dat de industrie updates kan voorbereiden voor de brede beschikbaarheid van wpa3-personal. Wpa3 is de opvolger van wpa2 en moet de beveiliging flink verbeteren. De opvolger komt in een personal-versie voor thuisnetwerken en een enterprise-variant met 192bit-encryptie. Wpa2 bleek vatbaar voor een Krack-aanval, wat staat voor Key reinstallation attack. Die aanval werd ook al ontdekt door Mathy Vanhoef.

De onderzoekers beschrijven aanvallen op wpa3 met de naam Dragonblood in een white paper. Ze richten zich voornamelijk op wpa3's Simultaneous Authentication of Equals-, of sae-handshake, ook wel Dragonfly genoemd. Ze tonen aan dat deze kwetsbaar is voor een password partitioning-aanval, een soort dictionary-aanval waarbij met brute kracht een wachtwoord te kraken is door sidechannellekken te misbruiken. De onderzoekers richten zich daarbij op de methode van het protocol om wachtwoorden te encoderen. "Het resultaat is efficiënt en goedkoop", schrijven ze. "Het brute forcen van een lowercase wachtwoord van acht karakters vergt minder dan 125 dollar in een Amazon EC2-instance."

VanHoef zei vorig jaar al in een artikel over wpa3 tegen Tweakers dat het waarschijnlijk was dat de Dragonfly-handshake implementatiefouten bevatte waarmee een aanvaller details over het wachtwoord zou kunnen achterhalen en dat er betere alternatieven voor waren. In het onderzoeksdocument staat beschreven hoe de nieuwe aanvallen met kleine wijzigingen in het protocol voorkomen hadden kunnen worden. Ook hebben ze de scripts Dragonslayer, Dragondrain, Dragontime en Dragonforce vrijgegeven om te kunnen testen op de aanwezigheid van de kwetsbaarheden.

wpa3 sae aanval Dragonblood

Reacties (67)

Armin 11 april 2019 21:07

Voor de duidelijkheid, in het begin spreekt Tweakers vane en ontwerpfout, maar later zegt VanHoef dat het gaat om implementatiefouten. In het oorspronkelijke artikel staat het duidelijker:

"... Er zijn namelijk betere alternatieven voor de nu gekozen Dragonfly-handshake."
Bij de vraag waarin deze handshake tekortschiet, komt Vanhoef terug op de implementatie door fabrikanten. "Het is waarschijnlijker dat er [bij Dragonfly, red.] implementatiefouten voorkomen. Die zouden vervolgens bijvoorbeeld weer een timing attack mogelijk kunnen maken, waarmee een aanvaller details over het wachtwoord zou kunnen achterhalen."

En het persbericht:

"Recently published research identified vulnerabilities in a limited number of early implementations of WPA3™-Personal, where those devices allow collection of side channel information on a device running an attacker’s software, do not properly implement certain cryptographic operations, or use unsuitable cryptographic elements. "

the_stickie @Armin • 11 april 2019 21:41

Zoals gebruikelijk bij dit soor technische artikels geeft allerhande pers er de nodige interpretatie aan. Gelukkig is de paper zelf ook gemakkelijk te vinden: https://papers.mathyvanhoef.com/dragonblood.pdf zodat wie geïntersseerd is in de details zelf z'n conclusies kan trekken.

Tomaat 12 april 2019 09:19

Waarom kiezen ze eigenlijk voor een persoonlijke en zakelijke versie van WPA3? Je wilt toch altijd de beste methode inzetten? Ik zou voor mijn thuisnetwerkje ook de hoogste encryptiegraad willen hebben.

nils83 @Tomaat • 12 april 2019 10:09

Enterprise versies maken gebruik van een RADIUS server en DB, lijkt me net een brug te ver voor de gemiddelde gebruiker.

MdBruin 11 april 2019 21:54

@Barsonax Dat is ook maar relatief gezien. Hardware wordt steeds krachtiger waardoor je grotere wachtwoorden kunt bruteforcen, maar als je wachtwoord in een wordlist staat (of een vorm ervan) dan loop je alzo een groter risico.

Een voorbeeld van password cracking waarbij bruteforce en wordlist aanvallen worden besproken en gedemonstreerd (computerphile).
https://youtu.be/7U-RbOKanYs

[Reactie gewijzigd door MdBruin op 23 juli 2024 04:17]

Barsonax @MdBruin • 11 april 2019 22:44

Succes met brute forcen van een wachtwoord van +16 willekeurige tekens. Volgens mij zit ik nog wel veilig totdat die router zelf gewoon niet meer voldoet

.

Zo'n wachtwoord is niet te brute forcen al gebruiken ze een super computer. De zwakte zal eerder in andere elementen van het systeem gaan zitten.

EDIT: nu heb ik je al de hint gegeven dat die +16 tekens lang is dus dat scheelt je heel wat zoekwerk.

[Reactie gewijzigd door Barsonax op 23 juli 2024 04:17]

MdBruin @Barsonax • 11 april 2019 23:25

Je wachtwoord is inderdaad net zo sterk als de zwakste schakel. Het is trouwens veel intressanter om videokaarten hiervoor te gebruiken, deze zijn door hashcat behoorlijk effectief te gebruiken. Met 16+ random karakters ben je voor de standaard hackers niet intressant, alleen eentje die echt de tijd eraan wil spenderen (neemt behoorlijk wat tijd in beslag) zou mogelijk je wachtwoord kunnen kraken.

Barsonax @MdBruin • 12 april 2019 07:39

Zoals ik al zei zelfs met een supercomputer gaat dat ze niet lukken. Ik heb geen wachtwoord met woorden erin of enige andere structuren. Die truukjes die ze normaliter toepassen om sneller je wachtwoord te kraken werken dus niet. Ze zullen toch echt alles moeten uitproberen wat gewoon niet te doen is met zoveel tekens en dan ook nog cijfers, letters (upper en lower natuurlijk) etc door elkaar.

MdBruin @Barsonax • 12 april 2019 10:16

Bij bruteforce wordt er geen rekening gehouden met logica. Bij een wachtwoord worden gewoon alle combinaties geprobeerd. Met jou wachtwoord als voorbeeld:

1ste poging aaaaaaaaaaaaaaaa
2de poging aaaaaaaaaaaaaaab
27ste poging aaaaaaaaaaaaaaaA
28ste poging aaaaaaaaaaaaaaaB
55ste poging aaaaaaaaaaaaaaa(eerste symbool)
73ste poging aaaaaaaaaaaaaaba
enz.

Ben het wel met je eens dat met de huidige hardware het niet praktisch is, 16 karakters is voor de huidige situatie praktische niet te kraken in een mensenleven.

Barsonax @MdBruin • 12 april 2019 10:18

De Hashcat die je noemt gebruikt meer dan alleen brute force. Die doet ook enkele aannames die vaak correct zijn bij wachtwoorden waardoor deze veelgebruikte wachtwoorden sneller kan vinden.

MdBruin @Barsonax • 12 april 2019 10:44

Het hangt er vanaf welke attack mode en opties die je gebruikt, maar er zal inderdaad wel een logica gebruikt worden om het proces proberen te versnellen.
Bruteforce is ook niet zo populair als een woordenboek aanval, hierdoor ben je met random karakters al een heel stuk veiliger. De kans dat jouw wachtwoord hierin staat is zeer klein.

EraYaN @MdBruin • 12 april 2019 15:29

Men gebruikt eigenlijk altijd wordlists en wat rule sets. En je hebt wordlists die gesorteerd zijn op frequentie, dus dat gaat best wel rap.

MdBruin @EraYaN • 12 april 2019 18:03

Door het uitlekken van echt gebruikte wachtwoorden zijn de woordenboek aanvallen inderdaad erg effectief geworden. Denk bijvoorbeeld aan de rockyou wordlist. Daarop een goede rule set erop en je kunt behoorlijk snel een wachtwoord kraken. Maar er zijn meerdere woordenboeken welke niet gedeeld worden maar nog vele malen effectiever zijn. Je kunt zelf je woordenboek laten genereren, een woordenboek gaat in mijn ervaring sneller als bruteforce het laten genereren.

EraYaN @MdBruin • 12 april 2019 21:25

Ik ben altijd erg fan van dit project: https://github.com/berzerk0/Probable-Wordlists en ook natuurlijk gewoon SecLists.

Thystan @Barsonax • 12 april 2019 16:21

Met een quantum computer zo gepiept hoor

Barsonax @Thystan • 12 april 2019 16:52

Nou kraak die wachtwoorden maar dan als het zo gepiept is

. Niet valsspelen met makkelijke wachtwoorden.

Thystan @Barsonax • 15 april 2019 13:14

Geef ff een quantumcomputer ter beschikking dan!
Ben al bezig met IBM

Barsonax @Thystan • 15 april 2019 14:16

Ja hey die moet je zelf regelen

kimborntobewild @Barsonax • 12 april 2019 03:09

5 Jaar geleden was een videokaart al in staat om een wachtwoord van 14 karakters te kraken binnen een redelijke termijn. Apparatuur is sindsdien veel sneller geworden; ik ga ervan uit dat een normale PC inmiddels 15 of 16 karakters kan kraken. Als je dan supercomputers erbij pakt, zit je misschien al op 20 karakters. Normale ouderwetse wachtwoordsystemen zouden hun langste tijd nu wel moeten hebben gehad. Iedereen sterke wachtwoorden van 23 karakters laten gebruiken gaat ook niet lukken.

Barsonax @kimborntobewild • 12 april 2019 07:29

Bron? Volgens mij is dat namelijk totale onzin wat je nu zegt. Alleen als je een wachtwoord hebt waarin teveel structuur zit gaat dat werken. Met willekeurige tekens maken ze geen kans.

MdBruin @Barsonax • 12 april 2019 09:54

Helaas wel, gewoon het programma alle combinaties af laten gaan. Met 2000MH/s (2000000000 combinaties per seconde) ben je in 21.6 dagen door alle combinaties heen bij een 10 karakter wachtwoord. (Bij 14 karakters, 1.6 jaar)
Met genoeg snelle videokaarten is dit tegenwoordig mogelijk. Kijk maar eens naar mining waarbij nog hogere rates worden behaald. Natuurlijk halen ze niet 1 op 1 dezelfde hash rates aangezien de encryptie beter is, maar dan nog gaat het absurd snel. De techniek staat niet stil, MD5 was vroeger een goede encryptie welke toen onbreekbaar was. Nu zeggen we niet meer gebruiken door de huidige hardware, 1 snelle videokaart is al genoeg.

[Reactie gewijzigd door MdBruin op 23 juli 2024 04:17]

Barsonax @MdBruin • 12 april 2019 10:34

2 miljard per seconde is helemaal niks als je je bedenkt dat je met 10 characters dat je 95 tot de 10e macht aan combnaties kan maken. Dat komt neer op zo'n 5,987 keer 10 tot de 19e macht aan combinaties.... Dat is dan met nog maar 10 characters. Veel plezier met 16+ characters al gebruik je alle computers van de hele wereld.

Zolang je dus een redelijk lang wachtwoord hebt waarin je genoeg verschillende tekens gebruikt zal je wachtwoord zelf meer dan sterk genoeg zijn. Beperk je dus absoluut niet tot alleen lower case of upper case maar ga helemaal los met getallen etc.

MdBruin @Barsonax • 12 april 2019 11:11

Dat is niet het punt wat ik probeerde aan te geven, alles is (op ten duur) te kraken. Het punt is wil je die moeite er voor doen of is er een makkelijker doelwit. 2 miljard pogingen zijn relatief gezien makkelijk te behalen (afgezien de kosten hiervan), hardware wordt steeds krachtiger en hierdoor blijft het hier tegen vechten en verbeteren. Ben je met een goed opgezet 16 karakter wachtwoord nu veilig, ja het is gewoon te onpraktisch om dit proberen te kraken. Je bent als standaard gebruiker niet intressant genoeg om je aan te vallen.

borft @MdBruin • 12 april 2019 10:36

Nu vergeet je gemakshalve even hoeveel tijd het kost om een combinatie te checken (inloggen duurt een stuk langer dan 0s). Heel leuk dat je videokaart zo snel kan hashen, maar je hebt de daadwerkelijke hash natuurlijk niet. Wat er door de lucht gaat is hopelijk versleutelt met meer dan het wachtwoord alleen.

MdBruin @borft • 12 april 2019 11:01

Er wordt niet ingelogd op het AP. De aanvaller pakt de handshake uit de lucht door je bewust van het AP af te gooien (deauth) en dan te gaan luisteren naar de handshake, net zo lang totdat je de handshake hebt en het programma beëindigd. Daarna hoef je niet meer in de buurt te zijn van het AP. De hash rate welke hashcat aangeeft is inclusief het proberen tegen de handshake. Dit is dus geen extra handeling welke nog uitgevoerd moet worden.

Mag ik hopen van wel, al gebruikt nog niet elke site https als de aanvaller daarin geïnteresseerd is. Het hangt dus van het doel af waarom de aanvaller dit doet. Zonder toestemming is dit nog steeds illegaal.

kimborntobewild @Barsonax • 18 april 2019 12:53

Bron? Volgens mij is dat namelijk totale onzin wat je nu zegt. Alleen als je een wachtwoord hebt waarin teveel structuur zit gaat dat werken. Met willekeurige tekens maken ze geen kans.

Nah ja, 't hangt van 't gebruikte veiligheidssysteem af; maar hierbij een verouderd artikel uit 2010 (je mag hopen dat de technieken in Windows 10 / iOS 13 / Adroid 9 / etc. tegenwoordig veiliger zijn):
https://cyberarms.wordpre...x-passwords-in-5-seconds/
Al is het niet het artikel die ik in 't hoofd had; die kan ik zo snel niet meer vinden.

Barsonax @kimborntobewild • 19 april 2019 08:29

Hier zit dus een zwakte in de hash waardoor ze het wachtwoord kunnen kraken. Dit is daarmee ook eigenlijk geen brute force.

erikmeuk3 @kimborntobewild • 12 april 2019 15:26

Als je simpel na 10 pogingen de inlog tijd met 1 seconde gaat vertragen hou je gewone gebruikers niet op.
En je brute force poging duurt enorm lang.

Ik heb ooit een poging gedaan om een wachtwoord van een bestand te kraken.
Het duurde een dag toen het programma aan gaf dat het wachtwoord langer dan 12 karakters was.
Het hele systeem heeft al die uren op volle capaciteit gedraaid.(i7 3.4 GHz)
Het was wel een mooie test voor de computer.

OxWax @kimborntobewild • 12 april 2019 09:16

Beschrijf de procedure eens aub?
En oh ...

https://xkcd.com/936/

kimborntobewild @OxWax • 18 april 2019 12:40

En oh ...
https://xkcd.com/936/

Ik ken niemand die een wachtwoord gebruikt die bestaat uit vier woorden aan elkaar. De reden zal zijn: dan typ je je steeds een ongeluk bij 't intypen van het wachtwoord.

mjz2cool @kimborntobewild • 12 april 2019 10:57

Als je uit gaat van 16 getallen zijn er al 10 biljard mogelijkheden, dat zou met een gemiddelde computer in 3 dagen gekraakt kunnen worden. Voeg hier ook nog hoofdletters en kleine letters aan toe, dan heb je al meer dan 16 quintiljoen mogelijkheden. Dan heb je nog niet de tekens erbij gerekend. En als je de lengte ook nog niet weet heb je nog weer veel meer mogelijkheden.
Je snapt dan denk ik wel dat een videokaart van 5 jaar geleden een wachtwoord van 14 karakters niet in redelijke tijd kan kraken.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 04:17]

Men_o @mjz2cool • 12 april 2019 11:10

Hackers gebruiken steeds snellere videokaarten, maar goede systemen worden ook geupdate met steeds complexere hashing algoritmes. Zeggen dat nieuwe videokaarten langere wachtwoorden kunnen brute forcen in dezelfde tijd gaat dus vaak niet op.

paradoXical @MdBruin • 12 april 2019 12:05

Zo'n wordlist aanval is bijzonder makkelijk te doen. Ooit met jack the ripper en een dictionary binnen 3 uurtjes een password weten te kraken. De enige kennis nodig: hash van het ww, linux console, basis commando's, en het compileren van software.

MdBruin @paradoXical • 12 april 2019 17:41

Het hangt van de kwaliteit van je woordenboek af en of het wachtwoord hierin voorkomt, er zijn daarnaast natuurlijk ook nog extra opties om de woorden aan te passen. Daarnaast hangt het af van de kwaliteit van het gebruikte wachtwoord.

paradoXical @MdBruin • 14 april 2019 23:12

Jack the ripper tutorials komen al snel met een simpel algoritme, en goede woordenlijsten (password databases) zijn makkelijk te vinden online. Ik heb zo'n 400GB aan txt met daarin passwords.

akooijman @MdBruin • 11 april 2019 22:56

Brute force op een live systeem is makkelijk te voorkomen: na het eerste foute wachtwoord 5 seconden wachten, na de tweede poging 10 seconden derde poging 20 seconden enzovoorts.
In de wachttijd eventueel wel gewoon aanmeldpogingen accepteren maar de aangeboden wachtwoorden negeren.
(Geen) succes verzekerd.

NLKornolio @akooijman • 11 april 2019 23:24

En dat per ip, vaak genoeg locked out of mijn wordpress geweest omdat die de halve dag locked.

MdBruin @akooijman • 11 april 2019 23:30

Een live systeem is makkelijker hier tegen te beschermen, maar bij een Wi-Fi hack wordt er een capture gemaakt van je handshake waarmee eventueel op een later moment offline een aanval op kan worden gedaan. Ik heb wel het document gedownload maar me nog niet verdiept hoe de aanval op WPA v3 werkt.

aadje93 @akooijman • 12 april 2019 07:15

Dat werkt leuk voor login systemen. Echter de meeste wifi hacks doen het door packets offline op te slaan en die later te gaan brute forcen om erachter te komen wat het wachtwoord is. Daar gaat die 5sec timeout niet op

JAVE @akooijman • 11 april 2019 23:36

Ik las net een stukje over iemand die z'n iPad voor 48 jaar gelocked had gekregen omdat zijn zoontje van 3 fanatiek probeerde te ontgrendelen... (https://twitter.com/eosnos/status/1114651667214032896)

Zo'n steeds langere wachttijd is dus ook niet ideaal

Sfynx @JAVE • 11 april 2019 23:50

Ik heb nog steeds moeite om dat verhaal te geloven, aangezien daar eerst een aantal wachttijden aan vooraf zouden moeten gaan die de levensduur van dat ding al ver zouden overschrijden.

mjz2cool @Sfynx • 12 april 2019 10:36

Er was in een oudere versie van ios wel een bug die dit kon veroorzaken. Normaal kan dat inderdaad niet echt zijn, want dan ben je al begonnen met proberen lang voordat de ipad bestond.

mjz2cool @JAVE • 12 april 2019 10:40

Dit komt alleen niet door fanatiek ontgrendelen (dan zou dat zoontje al meer dan 40 jaar bezig zijn). Er was in een oude ios versie een bug die dit kon veroorzaken, en aan de foto te zien is het ook inderdaad een oudere versie.

erikmeuk3 @JAVE • 12 april 2019 15:08

Als je de verdubbelde tijd moet wachten op de volgende poging kom je nooit op 48 jaar.
Volgens de logica van dit systeem had er 24 jaar wachten moeten zitten tussen de 2 laatste pogingen.
De wachttijd is altijd korter dan de tijd die de hacker bezig is geweest met de inbraak pogingen.

Een WiFi slimmer maken tegen inbraak mag nog wel even over nagedacht worden.
Push mail aan de beheerder.
Automatisch omschakelen op alleen bekende mac adressen.
Op mijn router zit een apart logboekje voor inlogpogingen, maar dom genoeg werkt dat niet op het gastaccount.

Troepje @JAVE • 13 april 2019 20:27

Lol!

mjz2cool @akooijman • 12 april 2019 10:38

Dat is wel goed bij login systemen. Maar bij een draadloos netwerk kun je offline brute forcen, wat niet te voorkomen is met zo'n timeout.

Clubbtraxx

11 april 2019 21:59

Ik vraag me af of recente routers en AP's nog een upgrade krijgen naar WPA3?
Of is het weer een leuk verdien model en moet iedereen nieuwe hardware aanschaffen...

aileron @Clubbtraxx • 11 april 2019 22:21

Dat vragen meer mensen zich af. Vooral semi/professioneel spul als ubiquiti zou dit toch echt wel moeten kunnen.

Maar dit soort ontdekkingen zo vroeg in het stadium van overstap naar WPA3 zegt mij dat er misschien nog wel meer werk aan de winkel is voor een global uitrol.
Misschien is een enkele kwetsbaarheid een vertekend beeld en is WPA3 er wel degelijk klaar voor.
We gaan het zien wanneer de eerste mainstream producten in de winkels liggen.

akooijman @Clubbtraxx • 11 april 2019 23:02

Voor zover ik begreep kan dat alleen als er de juiste chipsets in zitten en de meeste fabrikanten zullen in dat geval wel een wpa3 ready sticker op de doos plakken.
Als die er niet op zit zou ik niet op een upgrade rekenen.

Mr Pingu 12 april 2019 00:04

Is deze aanvalsvector ook mogelijk met Wpa2?

John Duh @Mr Pingu • 12 april 2019 00:26

Daar speelde eind 2017 iets soortgelijks, ook een handshake issue: KRACK. Dat is gefixt en daarmee lijkt mij momenteel WPA2 een veiliger alternatief voor WPA3. Tot ook daar een patch voor uitkomt uiteraard.

Riddled @Mr Pingu • 12 april 2019 08:09

Nee, deze aanval werkt niet bij wpa2 (en tkip en WEP), die gebruiken geen sae-authenticatie. De sae is er gekomen om problemen zoals die gevonden waren in KRACK te voorkomen.

[Reactie gewijzigd door Riddled op 23 juli 2024 04:17]

Barsonax 11 april 2019 21:25

Maar met een sterk wachtwoord ben je dus wel veilig begrijp ik hieruit. Gelukkig maar dat ik meer dan 8 tekens gebruik en dan ook nog eens random cijfers, letters etc.

padoempats @Barsonax • 11 april 2019 22:04

Random cijfers lijkt me lastig. Je moet wel steeds dezelfde cijfers gebruiken anders matcht je wachtwoord niet

Nystran @Barsonax • 11 april 2019 22:56

Jij wel, maar veel mensen gebruiken nog steeds in volgorde: Hoofdletter - 5-6 kleine letters (vaak hele woorden) - cijfer - teken.

Grappig hoe onze cultuur beinvloedt hoe een stereotiep wachtwoord eruit ziet, wat wachtwoorden juist onveiliger maakt.

Laloeka @Nystran • 12 april 2019 00:20

Als je "Welkom0!" gebruikt of een variatie daarop, voel ik me zeer welkom op dat netwerk

Ik heb op twee afzonderlijke locaties gewerkt waar het wachtwoord echt zo simpel was.

[Reactie gewijzigd door Laloeka op 23 juli 2024 04:17]

aadje93 @Laloeka • 12 april 2019 07:12

Tsja de postcode en huisnummer aan elkaar heb ik ook vaak genoeg gehad bij door een isp geïnstalleerd routertje...

Barsonax @Nystran • 12 april 2019 07:40

Tja als developer ben je je toch wat meer bewust van de mogelijkheden en de risico's

akaash00 11 april 2019 20:25

Ik ben blij dat deze dingen snel ontdekt worden voordat het overal gebruikt wordt.

Geen (kwetsbaarheids)nieuws is in dit geval slecht nieuws. (Voor nieuwe standaarden)

[Reactie gewijzigd door akaash00 op 23 juli 2024 04:17]

aadje93 11 april 2019 21:02

elk slot dat door de mens gemaakt word kan door een ander mens ook onbedoeld geopend worden....

elpino.rv @aadje93 • 11 april 2019 21:10

Met unlimited tijd en geld zeker. Kunst is dus iets te bedenken dat lang genoeg volhoudt met beperkt budget.

uiltje @aadje93 • 11 april 2019 21:17

Tegeltjeswijsheden. Vaak niet waar gelukkig.

Laloeka @aadje93 • 12 april 2019 00:23

Als je het zo stelt: vaak is het niet het slot dat gekraakt wordt, maar zijn er manieren om het slot te bedenken. Zo ook hier; er zijn bepaalde handelingen gedaan om te achterhalen wat de sleutel is. Het slot is nog steeds intact en gaat enkel open met de goede sleutel.

We weten inmiddels redelijk goed welke wiskunde wel, en welke wiskunde niet gebruikt moet worden voor authenticatie, maar de software daar omheen schrijven is vaak een stuk complexer dan door de meeste ontwikkelaars gedacht wordt.

freaky 11 april 2019 20:48

Geen (kwetsbaarheids)nieuws is in dit geval slecht nieuws.

Da's alleen waar als alle onderzoekers die niks vinden daarmee in het nieuws komen.

Niks te melden hebben is meestal niet iets wat men nieuwswaardig vind echter.

Op dit item kan niet meer gereageerd worden.

Wpa3 blijkt vatbaar voor aanval om wifi-wachtwoord te kraken

Lees meer

De opvolger van wpa2 komt eraan

Reacties (67)

Sorteer op:

Weergave: