Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wpa3 blijkt vatbaar voor aanval om wifi-wachtwoord te kraken

Onderzoekers van onder andere de KU Leuven beschrijven een aanval op de handshake van het wpa3-Personal-protocol waarmee wifi-wachtwoorden te achterhalen zijn. De handshake blijkt enkele ontwerpfouten te bevatten.

De Wi-Fi Alliance heeft een beveiligingsupdate voor wpa3 aangekondigd en bedankt de onderzoekers, Mathy Vanhoef van de New York University Abu Dhabi en Eyal Ronen van de Tel Aviv University en KU Leuven voor de ontdekking en de melding. Dit zorgt er volgens de organisatie voor dat de industrie updates kan voorbereiden voor de brede beschikbaarheid van wpa3-personal. Wpa3 is de opvolger van wpa2 en moet de beveiliging flink verbeteren. De opvolger komt in een personal-versie voor thuisnetwerken en een enterprise-variant met 192bit-encryptie. Wpa2 bleek vatbaar voor een Krack-aanval, wat staat voor Key reinstallation attack. Die aanval werd ook al ontdekt door Mathy Vanhoef.

De onderzoekers beschrijven aanvallen op wpa3 met de naam Dragonblood in een white paper. Ze richten zich voornamelijk op wpa3's Simultaneous Authentication of Equals-, of sae-handshake, ook wel Dragonfly genoemd. Ze tonen aan dat deze kwetsbaar is voor een password partitioning-aanval, een soort dictionary-aanval waarbij met brute kracht een wachtwoord te kraken is door sidechannellekken te misbruiken. De onderzoekers richten zich daarbij op de methode van het protocol om wachtwoorden te encoderen. "Het resultaat is efficiënt en goedkoop", schrijven ze. "Het brute forcen van een lowercase wachtwoord van acht karakters vergt minder dan 125 dollar in een Amazon EC2-instance."

VanHoef zei vorig jaar al in een artikel over wpa3 tegen Tweakers dat het waarschijnlijk was dat de Dragonfly-handshake implementatiefouten bevatte waarmee een aanvaller details over het wachtwoord zou kunnen achterhalen en dat er betere alternatieven voor waren. In het onderzoeksdocument staat beschreven hoe de nieuwe aanvallen met kleine wijzigingen in het protocol voorkomen hadden kunnen worden. Ook hebben ze de scripts Dragonslayer, Dragondrain, Dragontime en Dragonforce vrijgegeven om te kunnen testen op de aanwezigheid van de kwetsbaarheden.

Door Olaf van Miltenburg

Nieuwscoördinator

11-04-2019 • 20:20

67 Linkedin Google+

Submitter: HKLM_

Reacties (67)

Wijzig sortering
Voor de duidelijkheid, in het begin spreekt Tweakers vane en ontwerpfout, maar later zegt VanHoef dat het gaat om implementatiefouten. In het oorspronkelijke artikel staat het duidelijker:
  • "... Er zijn namelijk betere alternatieven voor de nu gekozen Dragonfly-handshake."
  • Bij de vraag waarin deze handshake tekortschiet, komt Vanhoef terug op de implementatie door fabrikanten. "Het is waarschijnlijker dat er [bij Dragonfly, red.] implementatiefouten voorkomen. Die zouden vervolgens bijvoorbeeld weer een timing attack mogelijk kunnen maken, waarmee een aanvaller details over het wachtwoord zou kunnen achterhalen."
En het persbericht:

"Recently published research identified vulnerabilities in a limited number of early implementations of WPA3™-Personal, where those devices allow collection of side channel information on a device running an attacker’s software, do not properly implement certain cryptographic operations, or use unsuitable cryptographic elements. "
Zoals gebruikelijk bij dit soor technische artikels geeft allerhande pers er de nodige interpretatie aan. Gelukkig is de paper zelf ook gemakkelijk te vinden: https://papers.mathyvanhoef.com/dragonblood.pdf zodat wie geïntersseerd is in de details zelf z'n conclusies kan trekken.
Waarom kiezen ze eigenlijk voor een persoonlijke en zakelijke versie van WPA3? Je wilt toch altijd de beste methode inzetten? Ik zou voor mijn thuisnetwerkje ook de hoogste encryptiegraad willen hebben.
Enterprise versies maken gebruik van een RADIUS server en DB, lijkt me net een brug te ver voor de gemiddelde gebruiker.
@Barsonax Dat is ook maar relatief gezien. Hardware wordt steeds krachtiger waardoor je grotere wachtwoorden kunt bruteforcen, maar als je wachtwoord in een wordlist staat (of een vorm ervan) dan loop je alzo een groter risico.

Een voorbeeld van password cracking waarbij bruteforce en wordlist aanvallen worden besproken en gedemonstreerd (computerphile).
https://youtu.be/7U-RbOKanYs

[Reactie gewijzigd door MdBruin op 11 april 2019 21:56]

Succes met brute forcen van een wachtwoord van +16 willekeurige tekens. Volgens mij zit ik nog wel veilig totdat die router zelf gewoon niet meer voldoet :).

Zo'n wachtwoord is niet te brute forcen al gebruiken ze een super computer. De zwakte zal eerder in andere elementen van het systeem gaan zitten.

EDIT: nu heb ik je al de hint gegeven dat die +16 tekens lang is dus dat scheelt je heel wat zoekwerk.

[Reactie gewijzigd door Barsonax op 11 april 2019 22:46]

Je wachtwoord is inderdaad net zo sterk als de zwakste schakel. Het is trouwens veel intressanter om videokaarten hiervoor te gebruiken, deze zijn door hashcat behoorlijk effectief te gebruiken. Met 16+ random karakters ben je voor de standaard hackers niet intressant, alleen eentje die echt de tijd eraan wil spenderen (neemt behoorlijk wat tijd in beslag) zou mogelijk je wachtwoord kunnen kraken.
Zoals ik al zei zelfs met een supercomputer gaat dat ze niet lukken. Ik heb geen wachtwoord met woorden erin of enige andere structuren. Die truukjes die ze normaliter toepassen om sneller je wachtwoord te kraken werken dus niet. Ze zullen toch echt alles moeten uitproberen wat gewoon niet te doen is met zoveel tekens en dan ook nog cijfers, letters (upper en lower natuurlijk) etc door elkaar.
Bij bruteforce wordt er geen rekening gehouden met logica. Bij een wachtwoord worden gewoon alle combinaties geprobeerd. Met jou wachtwoord als voorbeeld:

1ste poging aaaaaaaaaaaaaaaa
2de poging aaaaaaaaaaaaaaab
27ste poging aaaaaaaaaaaaaaaA
28ste poging aaaaaaaaaaaaaaaB
55ste poging aaaaaaaaaaaaaaa(eerste symbool)
73ste poging aaaaaaaaaaaaaaba
enz.

Ben het wel met je eens dat met de huidige hardware het niet praktisch is, 16 karakters is voor de huidige situatie praktische niet te kraken in een mensenleven.
De Hashcat die je noemt gebruikt meer dan alleen brute force. Die doet ook enkele aannames die vaak correct zijn bij wachtwoorden waardoor deze veelgebruikte wachtwoorden sneller kan vinden.
Het hangt er vanaf welke attack mode en opties die je gebruikt, maar er zal inderdaad wel een logica gebruikt worden om het proces proberen te versnellen.
Bruteforce is ook niet zo populair als een woordenboek aanval, hierdoor ben je met random karakters al een heel stuk veiliger. De kans dat jouw wachtwoord hierin staat is zeer klein.
Men gebruikt eigenlijk altijd wordlists en wat rule sets. En je hebt wordlists die gesorteerd zijn op frequentie, dus dat gaat best wel rap.
Door het uitlekken van echt gebruikte wachtwoorden zijn de woordenboek aanvallen inderdaad erg effectief geworden. Denk bijvoorbeeld aan de rockyou wordlist. Daarop een goede rule set erop en je kunt behoorlijk snel een wachtwoord kraken. Maar er zijn meerdere woordenboeken welke niet gedeeld worden maar nog vele malen effectiever zijn. Je kunt zelf je woordenboek laten genereren, een woordenboek gaat in mijn ervaring sneller als bruteforce het laten genereren.
Ik ben altijd erg fan van dit project: https://github.com/berzerk0/Probable-Wordlists en ook natuurlijk gewoon SecLists.
Met een quantum computer zo gepiept hoor
Nou kraak die wachtwoorden maar dan als het zo gepiept is :). Niet valsspelen met makkelijke wachtwoorden.
Geef ff een quantumcomputer ter beschikking dan!
Ben al bezig met IBM :P
Ja hey die moet je zelf regelen
5 Jaar geleden was een videokaart al in staat om een wachtwoord van 14 karakters te kraken binnen een redelijke termijn. Apparatuur is sindsdien veel sneller geworden; ik ga ervan uit dat een normale PC inmiddels 15 of 16 karakters kan kraken. Als je dan supercomputers erbij pakt, zit je misschien al op 20 karakters. Normale ouderwetse wachtwoordsystemen zouden hun langste tijd nu wel moeten hebben gehad. Iedereen sterke wachtwoorden van 23 karakters laten gebruiken gaat ook niet lukken.
Bron? Volgens mij is dat namelijk totale onzin wat je nu zegt. Alleen als je een wachtwoord hebt waarin teveel structuur zit gaat dat werken. Met willekeurige tekens maken ze geen kans.
Helaas wel, gewoon het programma alle combinaties af laten gaan. Met 2000MH/s (2000000000 combinaties per seconde) ben je in 21.6 dagen door alle combinaties heen bij een 10 karakter wachtwoord. (Bij 14 karakters, 1.6 jaar)
Met genoeg snelle videokaarten is dit tegenwoordig mogelijk. Kijk maar eens naar mining waarbij nog hogere rates worden behaald. Natuurlijk halen ze niet 1 op 1 dezelfde hash rates aangezien de encryptie beter is, maar dan nog gaat het absurd snel. De techniek staat niet stil, MD5 was vroeger een goede encryptie welke toen onbreekbaar was. Nu zeggen we niet meer gebruiken door de huidige hardware, 1 snelle videokaart is al genoeg.

[Reactie gewijzigd door MdBruin op 12 april 2019 09:58]

2 miljard per seconde is helemaal niks als je je bedenkt dat je met 10 characters dat je 95 tot de 10e macht aan combnaties kan maken. Dat komt neer op zo'n 5,987 keer 10 tot de 19e macht aan combinaties.... Dat is dan met nog maar 10 characters. Veel plezier met 16+ characters al gebruik je alle computers van de hele wereld.

Zolang je dus een redelijk lang wachtwoord hebt waarin je genoeg verschillende tekens gebruikt zal je wachtwoord zelf meer dan sterk genoeg zijn. Beperk je dus absoluut niet tot alleen lower case of upper case maar ga helemaal los met getallen etc.
Dat is niet het punt wat ik probeerde aan te geven, alles is (op ten duur) te kraken. Het punt is wil je die moeite er voor doen of is er een makkelijker doelwit. 2 miljard pogingen zijn relatief gezien makkelijk te behalen (afgezien de kosten hiervan), hardware wordt steeds krachtiger en hierdoor blijft het hier tegen vechten en verbeteren. Ben je met een goed opgezet 16 karakter wachtwoord nu veilig, ja het is gewoon te onpraktisch om dit proberen te kraken. Je bent als standaard gebruiker niet intressant genoeg om je aan te vallen.
Nu vergeet je gemakshalve even hoeveel tijd het kost om een combinatie te checken (inloggen duurt een stuk langer dan 0s). Heel leuk dat je videokaart zo snel kan hashen, maar je hebt de daadwerkelijke hash natuurlijk niet. Wat er door de lucht gaat is hopelijk versleutelt met meer dan het wachtwoord alleen.
Er wordt niet ingelogd op het AP. De aanvaller pakt de handshake uit de lucht door je bewust van het AP af te gooien (deauth) en dan te gaan luisteren naar de handshake, net zo lang totdat je de handshake hebt en het programma beëindigd. Daarna hoef je niet meer in de buurt te zijn van het AP. De hash rate welke hashcat aangeeft is inclusief het proberen tegen de handshake. Dit is dus geen extra handeling welke nog uitgevoerd moet worden.

Mag ik hopen van wel, al gebruikt nog niet elke site https als de aanvaller daarin geïnteresseerd is. Het hangt dus van het doel af waarom de aanvaller dit doet. Zonder toestemming is dit nog steeds illegaal.
Bron? Volgens mij is dat namelijk totale onzin wat je nu zegt. Alleen als je een wachtwoord hebt waarin teveel structuur zit gaat dat werken. Met willekeurige tekens maken ze geen kans.
Nah ja, 't hangt van 't gebruikte veiligheidssysteem af; maar hierbij een verouderd artikel uit 2010 (je mag hopen dat de technieken in Windows 10 / iOS 13 / Adroid 9 / etc. tegenwoordig veiliger zijn):
https://cyberarms.wordpre...x-passwords-in-5-seconds/
Al is het niet het artikel die ik in 't hoofd had; die kan ik zo snel niet meer vinden.
Hier zit dus een zwakte in de hash waardoor ze het wachtwoord kunnen kraken. Dit is daarmee ook eigenlijk geen brute force.
Als je simpel na 10 pogingen de inlog tijd met 1 seconde gaat vertragen hou je gewone gebruikers niet op.
En je brute force poging duurt enorm lang.

Ik heb ooit een poging gedaan om een wachtwoord van een bestand te kraken.
Het duurde een dag toen het programma aan gaf dat het wachtwoord langer dan 12 karakters was.
Het hele systeem heeft al die uren op volle capaciteit gedraaid.(i7 3.4 GHz)
Het was wel een mooie test voor de computer.
Beschrijf de procedure eens aub?
En oh ... ;)

https://xkcd.com/936/
Ik ken niemand die een wachtwoord gebruikt die bestaat uit vier woorden aan elkaar. De reden zal zijn: dan typ je je steeds een ongeluk bij 't intypen van het wachtwoord.
Als je uit gaat van 16 getallen zijn er al 10 biljard mogelijkheden, dat zou met een gemiddelde computer in 3 dagen gekraakt kunnen worden. Voeg hier ook nog hoofdletters en kleine letters aan toe, dan heb je al meer dan 16 quintiljoen mogelijkheden. Dan heb je nog niet de tekens erbij gerekend. En als je de lengte ook nog niet weet heb je nog weer veel meer mogelijkheden.
Je snapt dan denk ik wel dat een videokaart van 5 jaar geleden een wachtwoord van 14 karakters niet in redelijke tijd kan kraken.

[Reactie gewijzigd door mjz2cool op 12 april 2019 10:59]

Hackers gebruiken steeds snellere videokaarten, maar goede systemen worden ook geupdate met steeds complexere hashing algoritmes. Zeggen dat nieuwe videokaarten langere wachtwoorden kunnen brute forcen in dezelfde tijd gaat dus vaak niet op.
Zo'n wordlist aanval is bijzonder makkelijk te doen. Ooit met jack the ripper en een dictionary binnen 3 uurtjes een password weten te kraken. De enige kennis nodig: hash van het ww, linux console, basis commando's, en het compileren van software.
Het hangt van de kwaliteit van je woordenboek af en of het wachtwoord hierin voorkomt, er zijn daarnaast natuurlijk ook nog extra opties om de woorden aan te passen. Daarnaast hangt het af van de kwaliteit van het gebruikte wachtwoord.
Jack the ripper tutorials komen al snel met een simpel algoritme, en goede woordenlijsten (password databases) zijn makkelijk te vinden online. Ik heb zo'n 400GB aan txt met daarin passwords.
Brute force op een live systeem is makkelijk te voorkomen: na het eerste foute wachtwoord 5 seconden wachten, na de tweede poging 10 seconden derde poging 20 seconden enzovoorts.
In de wachttijd eventueel wel gewoon aanmeldpogingen accepteren maar de aangeboden wachtwoorden negeren.
(Geen) succes verzekerd.
En dat per ip, vaak genoeg locked out of mijn wordpress geweest omdat die de halve dag locked.
Een live systeem is makkelijker hier tegen te beschermen, maar bij een Wi-Fi hack wordt er een capture gemaakt van je handshake waarmee eventueel op een later moment offline een aanval op kan worden gedaan. Ik heb wel het document gedownload maar me nog niet verdiept hoe de aanval op WPA v3 werkt.
Dat werkt leuk voor login systemen. Echter de meeste wifi hacks doen het door packets offline op te slaan en die later te gaan brute forcen om erachter te komen wat het wachtwoord is. Daar gaat die 5sec timeout niet op
Ik las net een stukje over iemand die z'n iPad voor 48 jaar gelocked had gekregen omdat zijn zoontje van 3 fanatiek probeerde te ontgrendelen... (https://twitter.com/eosnos/status/1114651667214032896)

Zo'n steeds langere wachttijd is dus ook niet ideaal :+
Ik heb nog steeds moeite om dat verhaal te geloven, aangezien daar eerst een aantal wachttijden aan vooraf zouden moeten gaan die de levensduur van dat ding al ver zouden overschrijden.
Er was in een oudere versie van ios wel een bug die dit kon veroorzaken. Normaal kan dat inderdaad niet echt zijn, want dan ben je al begonnen met proberen lang voordat de ipad bestond.
Dit komt alleen niet door fanatiek ontgrendelen (dan zou dat zoontje al meer dan 40 jaar bezig zijn). Er was in een oude ios versie een bug die dit kon veroorzaken, en aan de foto te zien is het ook inderdaad een oudere versie.
Als je de verdubbelde tijd moet wachten op de volgende poging kom je nooit op 48 jaar.
Volgens de logica van dit systeem had er 24 jaar wachten moeten zitten tussen de 2 laatste pogingen.
De wachttijd is altijd korter dan de tijd die de hacker bezig is geweest met de inbraak pogingen.

Een WiFi slimmer maken tegen inbraak mag nog wel even over nagedacht worden.
Push mail aan de beheerder.
Automatisch omschakelen op alleen bekende mac adressen.
Op mijn router zit een apart logboekje voor inlogpogingen, maar dom genoeg werkt dat niet op het gastaccount.
Dat is wel goed bij login systemen. Maar bij een draadloos netwerk kun je offline brute forcen, wat niet te voorkomen is met zo'n timeout.
Ik vraag me af of recente routers en AP's nog een upgrade krijgen naar WPA3?
Of is het weer een leuk verdien model en moet iedereen nieuwe hardware aanschaffen...
Dat vragen meer mensen zich af. Vooral semi/professioneel spul als ubiquiti zou dit toch echt wel moeten kunnen.

Maar dit soort ontdekkingen zo vroeg in het stadium van overstap naar WPA3 zegt mij dat er misschien nog wel meer werk aan de winkel is voor een global uitrol.
Misschien is een enkele kwetsbaarheid een vertekend beeld en is WPA3 er wel degelijk klaar voor.
We gaan het zien wanneer de eerste mainstream producten in de winkels liggen.
Voor zover ik begreep kan dat alleen als er de juiste chipsets in zitten en de meeste fabrikanten zullen in dat geval wel een wpa3 ready sticker op de doos plakken.
Als die er niet op zit zou ik niet op een upgrade rekenen.
Is deze aanvalsvector ook mogelijk met Wpa2?
Daar speelde eind 2017 iets soortgelijks, ook een handshake issue: KRACK. Dat is gefixt en daarmee lijkt mij momenteel WPA2 een veiliger alternatief voor WPA3. Tot ook daar een patch voor uitkomt uiteraard.
Nee, deze aanval werkt niet bij wpa2 (en tkip en WEP), die gebruiken geen sae-authenticatie. De sae is er gekomen om problemen zoals die gevonden waren in KRACK te voorkomen.

[Reactie gewijzigd door Riddled op 12 april 2019 08:11]

Maar met een sterk wachtwoord ben je dus wel veilig begrijp ik hieruit. Gelukkig maar dat ik meer dan 8 tekens gebruik en dan ook nog eens random cijfers, letters etc.
Random cijfers lijkt me lastig. Je moet wel steeds dezelfde cijfers gebruiken anders matcht je wachtwoord niet :)
Jij wel, maar veel mensen gebruiken nog steeds in volgorde: Hoofdletter - 5-6 kleine letters (vaak hele woorden) - cijfer - teken.

Grappig hoe onze cultuur beinvloedt hoe een stereotiep wachtwoord eruit ziet, wat wachtwoorden juist onveiliger maakt.
Als je "Welkom0!" gebruikt of een variatie daarop, voel ik me zeer welkom op dat netwerk :)
Ik heb op twee afzonderlijke locaties gewerkt waar het wachtwoord echt zo simpel was.

[Reactie gewijzigd door Laloeka op 12 april 2019 00:20]

Tsja de postcode en huisnummer aan elkaar heb ik ook vaak genoeg gehad bij door een isp geïnstalleerd routertje...
Tja als developer ben je je toch wat meer bewust van de mogelijkheden en de risico's :)
Ik ben blij dat deze dingen snel ontdekt worden voordat het overal gebruikt wordt. :)
Geen (kwetsbaarheids)nieuws is in dit geval slecht nieuws. (Voor nieuwe standaarden) :+

[Reactie gewijzigd door akaash00 op 11 april 2019 20:25]

elk slot dat door de mens gemaakt word kan door een ander mens ook onbedoeld geopend worden....
Met unlimited tijd en geld zeker. Kunst is dus iets te bedenken dat lang genoeg volhoudt met beperkt budget.
Tegeltjeswijsheden. Vaak niet waar gelukkig.
Als je het zo stelt: vaak is het niet het slot dat gekraakt wordt, maar zijn er manieren om het slot te bedenken. Zo ook hier; er zijn bepaalde handelingen gedaan om te achterhalen wat de sleutel is. Het slot is nog steeds intact en gaat enkel open met de goede sleutel.

We weten inmiddels redelijk goed welke wiskunde wel, en welke wiskunde niet gebruikt moet worden voor authenticatie, maar de software daar omheen schrijven is vaak een stuk complexer dan door de meeste ontwikkelaars gedacht wordt.
Geen (kwetsbaarheids)nieuws is in dit geval slecht nieuws.
Da's alleen waar als alle onderzoekers die niks vinden daarmee in het nieuws komen.

Niks te melden hebben is meestal niet iets wat men nieuwswaardig vind echter.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True