【新聞】WPA Cracked in 15 minutes

[FYI]

去年底的新聞, WPA TKIP Cracked in 15 minutes, 破解方法並非採用字典攻擊法, 所以問題不在於密碼的強度, 而在於WPA TKIP 的缺陷(和WEP 有關), 建議全面改用WPA/WPA2-AES, 避免使用WPA/WPA2-TKIP

SmallNetBuilder - WPA Cracked in 15 minutes
Wi-Fi Net News: Don't Panic over WPA Flaw, But Do Pay Attention
Once Thought Safe, WPA Wi-Fi Encryption Is Cracked - PC World

[FYI]

小弟自己修正一下, 嚴格來說並非已經可以輕易破解WPA-TKIP 並取得金鑰, 而是可以利用TKIP 的弱點加以攻擊或干擾採用WPA-TKIP 的網路, 甚至攻擊其客戶端, 不論如何, 小弟還是有很好的理由不採用TKIP, 因為會嚴重降低傳輸效能達50% 以上, 所以目前最好的選擇就是WPA2-AES 或者WPA-AES

Rex's blah blah blah >> WPA/TKIP is vulnerable ?!
Battered, but not broken: understanding the WPA crack - Ars Technica
【轉貼】SmallNetBuilder - 5 Ways To Fix Slow 802.11n Speed

[cheerx]

FYI有興趣不妨玩玩RADIUS驗證來做加密控管,WPA或是WPA2都會影響效能,因為依賴的是ap本身的cpu,不過wpa被迫解應該早就算是舊聞了,難度只是比wep高一點點.

[FYI]

為了喝杯牛奶而養頭牛是否小題大作了點?

[cheerx]

還好吧!現在有很多免費的方案,包含linux平台.fyi兄手邊有不少遷入式系統,應該有可使用的平台,或是您要用公司現有的電腦安裝一下相關套件也可.又不是要您玩ssl vpn over wireless,那種就真的要有設備啦!

[chihchun]

引用:

作者: FYI

小弟自己修正一下, 嚴格來說並非已經可以輕易破解WPA-TKIP 並取得金鑰, 而是可以利用TKIP 的弱點加以攻擊或干擾採用WPA-TKIP 的網路, 甚至攻擊其客戶端, 不論如何, 小弟還是有很好的理由不採用TKIP, 因為會嚴重降低傳輸效能達50% 以上, 所以目前最好的選擇就是WPA2-AES 或者WPA-AES

FYI 兄說得沒錯，我稍做一點補充說明。

WPA-PSK AES-CCMP 不在初始的 WPA (IEEE 802.11i draft 3) 規格中，因此部份硬體可能不予支援。若是要選用，我個人還是會盡量用 WPA2-PSK (IEEE 802.11i) AES-CCMP，或者用 WPA/WPA2 mixed 安全協定.

至於效能的問題，主要的問題在於 TKIP 用的 RC4 cipher 在大部分機器上都是用軟體實做，而 AES 在許多新款的無線網通設備上，都是以硬體 (co-processor or SoC integrated) 來做運算，因此較少佔用 CPU 運算時間，相對吞吐率 (throughput) 就會好一點。

但我也認為不見得 AES 就一定快一些，因為也有廠商整合了支援 RC4 的 hardware encryption processor，或者韌體未使用硬體加密運算。最終還是得看產品本身的硬體與韌體實做方式才能判斷。

[darkblue012]

看到這個我有問題想請教各位..

如同上面所述不管採用哪種加密方式都會影響分享器本身的運算時間,假若小弟採用鎖MAC方式是否不會有上述問題呢?
因為小弟所知鎖MAC方式除非是你已加入的MAC的電腦可通過外,其他應該是無法跟該台AP連線對吧!?
小弟不是很懂這方面問題,可否請大大們幫小弟釋疑??

[FYI]

1. MAC Address 過濾對CPU 使用率影響相對較小
2. MAC Adress 可以偽造
3. MAC Address 是明文

[darkblue012]

引用:

作者: FYI

1. MAC Address 過濾對CPU 使用率影響相對較小
2. MAC Adress 可以偽造
3. MAC Address 是明文

感謝釋疑!!

[cheerx]

有感而發這個主題,小弟寫了一篇業代文,有興趣的人可以前往參觀

http://www.pczone.com.tw/vbb3/thread...6/#post1047848

算是適合中小企業的另類的安全無線網路.