水渍险——事故随时可能发生
水渍险是一个更好的选择。不幸的是,最简单的使用方法实际上使它比WEP更容易被破解。
WPA.是一个行业规范,Wi-Fi联盟推进了采用。这个合作无线制造商——担心WEP.会导致销售停滞——采纳IEEE 802.11i无线的早期草案安全标准,拉出一些更难实现的件,例如AES加密,并创建WPA。供应商在公布规范后仅仅五个月就装运了经过水渍险认证的产品。
WPA以多种方式提高安全性。最明显的是加密协议。WPA使用TKIP来改善无线加密中的关键用法。虽然TKIP使用相同的基础加密算法 - RC4 - 作为WEP,但选择和更改密钥的方式解决了WEP周围的许多问题。WPA还通过使得将消息注入无线对话或打开速度来改善802.11的完整性方面。
破解无线安全代码
WPA中的主要改进是每会话加密密钥。每当一个站点关联时,一个新的加密密钥就会根据每个会话的一些随机数和站点和接入点的媒体访问控制(MAC)地址生成。WPA听起来是一个重大的改进,如果使用得当,确实如此。
不幸的是,使用WPA最简单的方法实际上使得更容易破解而不是WEP。当WPA中未使用802.1x身份验证时,一个名为预共享密钥(PSK)的更简单的系统是。PSK提供了一个长期密码,每个想要连接到WLAN的人都必须知道。我们测试的所有无线设备除Linksys适配器卡外支持WPA-PSK(见下文)。)
使用WPA-PSK,如果您没有编写密码,您将易于离线词典攻击,其中攻击者在合法站加入无线网络时抓取几个数据包,然后可以采用这些数据包并恢复psk使用。攻击者可以获得他需要猜测PSK的东西,并没有任何人注意到。这可能发生,因为攻击者不必在WLAN附近超过几秒钟,而LAN不必非常繁忙。
当然,这种类型的攻击取决于人们选择糟糕的密码。因此,如果您强制用户在配置无线连接信息时输入一个64位十六进制数,那么您就可以了。但是大多数人使用WPA内置的密码短语机制,它将您输入的8到63个字符的字符串转换为64位密钥。在我们测试的产品中,超过一半的产品只允许你输入密码短语——即使你想输入64位的十六进制密钥,你也无法输入。
先天问题是密码短语很容易猜测。写入802.11i的IEEE委员会指出,八到十个字符的密码实际上具有少于40位的安全性,即WEP优惠的最基本版本,并表示不太可能的密码“少于约20个字符阻止攻击。“
与WEP一样,存在专门设计用于从WPA保护网络恢复PSK的无线开裂工具。我们使用了Kismac工具来证明可以使用这种短密码的任何产品使用现成的工具来恢复八个字符的PSK,只需几天工作。
带有802.1X身份验证的WPA(有时称为WPA- enterprise)产生了一个非常紧密的网络。802.1X为工作站和WLAN基础设施提供了强的正向身份验证,同时派生出安全的每会话加密密钥,不会受到任何偶然攻击。这种安全性是有代价的,因为802.1X身份验证需要重要的基础设施,包括与802.1X兼容的基础设施半径具有数字证书的服务器,以及支持802.1x的每个用户的客户端软件以及您使用的任何身份验证模式。
如果您正在寻找最佳无线安全性,您可以获得最佳的,802.1x身份验证与WPA的改进加密相结合是我们最接近理想解决方案的最接近的。在所有价格中找到良好的产品,即结合802.1X和WPA并不困难。然而,基于WPA的产品应该随着802.11i的产品迅速迅速达到市场。
|
版权所有©2004 IDG Com足球竞彩网下载munications,Inc。