Sterk wachtwoord maakt kraken wpa2 toch minder makkelijk

Het stukje is fraai maar eigenlijk oud nieuws. Of beter gezegd niets nieuws

Het gaat om twee dingen, de spreekwoordelijke appels & peren; brute force en dictionary based attacks.

WPA(2) met een PSK key is mischien te achterhalen, met bruteforce duurt het erg lang, hoe langer je key, hoe langer het duurt. Hoe ingewikkelder (cijfers en letters) je key hoe langer het duurt. Ga je ook hoofdletters gebruiken geeft al bijna 80 mogelijkheden extra. Bij bruteforce wordt in weze ieder mogelijk teken geprobeerd.
Dictionary based attack is feitelijk gewoon alle woorden (die in de lijst van het progsel staan) proberen om te kijken of het lukt. Dit zal sneller gaan, maar de kans op succes is heel klein als je ook tekens gebruikt en hier en daar hoofdletters.
Opm. zoals Baazie al opmerkte; het gebruik van -alleen- standaard l33t taal is ook af te raden omdat hier ook wel dictionary van te vinden is en dus net zo simpel gebruikt kan worden.

Bij PSK of TKIP moet je een code, je passphrase, invoeren als de verbinding tussen AP en client gelegd is om "verder te kunnen". De verbinding IS er dus al wel! Vandaar dat WLAN 's te kraken zijn

Deze passphrase wordt omgezet van ASCII naar HEX (bij vrijwel alle Acces Points), Een hoofdletter A heeft een heel andere HEX waarde dan een kleine a. Vandaar dat dictionary attack minder succes heeft bij gebruik van niet standaard woorden (en/of hoofdletters). Hoe goter de dictionary, dus hoe meer woorden, hoe beter (meer) er gekraakt kan worden. Maar het is -bijna- omogelijk om alle mogelijke combinaties van hoofd-, en kleine letters EN cijfers in een dictionary te zetten. Dan ga je eigenlijk alweer naar bruteforce toe. Dus: vrijwel niet te kraken.

Pas overigens op met rare tekens: #$%&@()_- en zeker spaties, sommige AP 's negeren bepaalde tekens of maken van een ' een ". Gevolg: je kan niet connecten. Spaties zijn wel HEX tekens (01 dacht ik) maar worden door sommige AP 's gewoon genegeerd: "Mijn Wachtwoord" wordt dan gezien als "MijnWachtwoord".

Advies: gebruik gewoon woorden die je wil, 8 tekens is meer dan voldoende, zet er een paar cijfers in en wat hoofdletters. Maar natuurlijk niet iets wat "de buurman" kan raden en dus hoofdletters & cijfers kan gaan proberen

Nog een kleine edit:
Hidden SSID en MAC adress beveiliging zijn wel overschat. Iedere (Windows) client loopt feitelijk constant naar zijn AP te roepen: "Joehoe < SSID > ben je er nog?" Dus het Access point zendt niets meer uit, maar de clients wel. En deze sturen ook braaf hun MAC adres mee in de communicatie. Als deel van de beveiliging niet onaardig maar niet voldoende.
Die 12000 attacks/sec kan de gemiddelde AP at aan overigens...

@ hieronder:

Kan iemand mij uitleggen waarom ik het SSID regelmatig zou moeten veranderen? Gewoon een wachtwoord laten genereren door een programma als KeePass (32 tekens uit de reeks 0123456789ABCDEF) lijkt mij afdoende. En natuurlijk wel zorgen dat niemand die gegevens uit het basisstation of de aangesloten apparaten kan vissen.

Ja, dat vond ik ook nogal merkwaardig. Veel veranderen van je SSID is vrij nutteloos IMHO...
Jouw methode garandeerd zeker veiligheid.

Dat eruit vissen is niet (meer) mogelijk met WPA. Een van de voordelen van WEP, je zag het wachtwoord gewoon voorbij komen na een tijdje (< 1minuut )

[Reactie gewijzigd door bord4kop op 24 juli 2024 13:45]

Maximale beveiliging met minimale moeite vind je vina de welbekende secury aite grc.com

https://www.grc.com/passwords.htm

Zo heb ik het tenminste gedaan.