Tipos de cifrado de contraseña wifi del enrutador y ¿por qué son importantes?

4

hasta ahora he estado siguiendo ciegamente artículos, etc. para configurar el tipo de encriptación de contraseña wifi de mi enrutador a WPA2-PSK / AES, pero ¿qué significa realmente para mí? ¿esto hace que sea más difícil para las personas piratear mi contraseña con cualquier algoritmo que estén usando? por ejemplo, si mi contraseña es Blink281, ¿qué significa realmente cambiar el tipo de cifrado para decir WPA-PSK?

no es un tipo realmente experto en tecnología :(

Gracias

networking wireless-networking router encryption passwords timoseewho
fuente
Si importa. WPA ya no es seguro, es trivial, atacar a WPA y romper el cifrado Su contraseña de ejemplo no es lo suficientemente larga, por cierto, sería trivial, forzar la contraseña por fuerza bruta.
Ramhound
Ya veo, así que simplemente seleccionando WPA2-PSK / AES, el enrutador hace algo con mi contraseña y la aleatoriza más, lo que hace que sea más difícil para las personas descifrar cualquier programa de descifrado que haya.
timoseewho
El funcionamiento de WPA y WPA2 está bien documentado. ¿Tienes una pregunta específica sobre ellos?
Ramhound
no exactamente, solo uno de esos momentos como 'oye, ¿qué hace esto realmente? jajaja. Supongo que puedo continuar configurando mis futuros enrutadores con esa configuración y establecer una contraseña y olvidarme de ella; p
timoseewho
La criptografía es un tema inmensamente complejo (quizás uno de los más complejos en la informática moderna), por lo que sí, tendrá que aceptar las opiniones y afirmaciones de expertos sobre qué configuración de cifrado usar. En la actualidad, WPA2 utilizando AES exclusivamente (sin TKIP) es la mejor opción (más fuerte) disponible. Deberá volver a consultar cada pocos años, o cada vez que configure un nuevo enrutador, para continuar tomando las mejores decisiones. Con este tipo de tema, tendrá que aceptar un medio feliz entre comprender todo y nada. La mayoría de la gente de TI no sabe cómo funciona WPA2, solo qué configuraciones usar.
Frank Thomas

Respuestas:

7

¿Qué significa realmente para mí?

por ejemplo, si mi contraseña es Blink281, ¿qué significa realmente cambiar el tipo de cifrado para decir WPA-PSK?

Usar WPA-PSKharía que su contraseña sea muy fácil de descifrar:

  • WPA-PSKno es seguro (en comparación con WPA2 + AES)

  • Su contraseña también es demasiado corta y no lo suficientemente compleja. Más sobre esto más tarde.

WPA2 + AES es el cifrado más seguro. Hace que sea más difícil (pero no imposible) que los piratas informáticos descifren su contraseña de WiFi.

Esta es una lista básica que clasifica los métodos de seguridad Wi-Fi actuales disponibles en cualquier enrutador moderno (posterior a 2006), ordenados de mejor a peor:

  • WPA2 + AES
  • WPA + AES
  • WPA + TKIP / AES (TKIP está ahí como un método alternativo)
  • WPA + TKIP
  • WEP
  • Red abierta (sin seguridad en absoluto)

La diferencia entre los diferentes métodos de cifrado se explica a continuación.

¿Qué más puedo hacer para maximizar la seguridad de WiFi?

Para maximizar la seguridad, también debe:

  • Deshabilite la configuración protegida de Wi-Fi (WPS) en su enrutador, ya que esto proporciona un vector de ataque tanto para WPA como para WPA2.

  • Elige una contraseña más segura:

    • Blink281 es demasiado corto.

    • Utiliza un conjunto restringido de caracteres (no hay caracteres especiales como !@#$%^&*()_+etc.).

    • Consulte a continuación para obtener información más detallada.

La diferencia entre el cifrado inalámbrico WEP, WPA y WPA2 (y por qué es importante)

Privacidad equivalente por cable (WEP)

Wired Equivalent Privacy (WEP) es el algoritmo de seguridad Wi-Fi más utilizado en el mundo. Esta es una función de la antigüedad, la compatibilidad con versiones anteriores y el hecho de que aparece primero en los menús de selección de tipo de cifrado en muchos paneles de control del enrutador.

WEP fue ratificado como un estándar de seguridad de Wi-Fi en septiembre de 1999. Las primeras versiones de WEP no fueron particularmente fuertes, incluso para el momento en que se lanzaron, porque las restricciones estadounidenses a la exportación de varias tecnologías criptográficas llevaron a los fabricantes a restringir sus dispositivos. a solo cifrado de 64 bits. Cuando se levantaron las restricciones, se aumentó a 128 bits. A pesar de la introducción del cifrado WEP de 256 bits, 128 bits sigue siendo una de las implementaciones más comunes.

A pesar de las revisiones del algoritmo y el aumento del tamaño de la clave, con el tiempo se descubrieron numerosas fallas de seguridad en el estándar WEP y, a medida que aumentaba la potencia informática, se hacía cada vez más fácil explotarlas. Ya en 2001, las hazañas de prueba de concepto flotaban y en 2005 el FBI hizo una demostración pública (en un esfuerzo por aumentar la conciencia de las debilidades de WEP) donde descifraron las contraseñas de WEP en minutos usando software disponible gratuitamente.

A pesar de varias mejoras, soluciones alternativas y otros intentos de apuntalar el sistema WEP, sigue siendo altamente vulnerable y los sistemas que dependen de WEP deben actualizarse o, si las actualizaciones de seguridad no son una opción, reemplazarse. La Alianza Wi-Fi retiró oficialmente a WEP en 2004.

Acceso protegido a Wi-Fi (WPA)

El acceso protegido a Wi-Fi fue la respuesta directa de Wi-Fi Alliance y el reemplazo de las vulnerabilidades cada vez más aparentes del estándar WEP. Fue adoptado formalmente en 2003, un año antes de que WEP se retirara oficialmente. La configuración WPA más común es WPA-PSK (clave precompartida). Las claves utilizadas por WPA son de 256 bits, un aumento significativo con respecto a las claves de 64 bits y 128 bits utilizadas en el sistema WEP.

Algunos de los cambios significativos implementados con WPA incluyeron verificaciones de integridad de mensajes (para determinar si un atacante había capturado o alterado los paquetes pasados ​​entre el punto de acceso y el cliente) y el Protocolo de integridad de clave temporal (TKIP). TKIP emplea un sistema de clave por paquete que era radicalmente más seguro que la clave fija utilizada en el sistema WEP. TKIP fue reemplazado posteriormente por Advanced Encryption Standard (AES).

A pesar de la mejora significativa de WPA sobre WEP, el fantasma de WEP persiguió a WPA. TKIP, un componente central de WPA, fue diseñado para implementarse fácilmente a través de actualizaciones de firmware en dispositivos con WEP existentes. Como tal, tuvo que reciclar ciertos elementos utilizados en el sistema WEP que, en última instancia, también fueron explotados.

Se ha demostrado que WPA, como su predecesor WEP, a través de pruebas de concepto y demostraciones públicas aplicadas, es vulnerable a la intrusión. Curiosamente, el proceso por el cual generalmente se viola WPA no es un ataque directo al algoritmo WPA (aunque tales ataques se han demostrado con éxito) sino por ataques en un sistema complementario que se implementó con WPA, Configuración protegida de Wi-Fi (WPS), diseñado para facilitar la conexión de dispositivos a puntos de acceso modernos.

Acceso protegido Wi-Fi II (WPA2)

WPA, a partir de 2006, ha sido reemplazado oficialmente por WPA2. Uno de los cambios más significativos entre WPA y WPA2 fue el uso obligatorio de algoritmos AES y la introducción de CCMP (Modo de cifrado de contador con protocolo de código de autenticación de mensaje de encadenamiento de bloque) como reemplazo de TKIP (aún conservado en WPA2 como un sistema alternativo y para interoperabilidad con WPA).

Actualmente, la principal vulnerabilidad de seguridad para el sistema WPA2 real es oscura (y requiere que el atacante ya tenga acceso a la red Wi-Fi segura para obtener acceso a ciertas claves y luego perpetuar un ataque contra otros dispositivos en la red ) Como tal, las implicaciones de seguridad de las vulnerabilidades conocidas de WPA2 se limitan casi por completo a las redes de nivel empresarial y merecen poca o ninguna consideración práctica con respecto a la seguridad de la red doméstica.

Desafortunadamente, la misma vulnerabilidad que es el mayor agujero en la armadura WPA, el vector de ataque a través de la configuración protegida de Wi-Fi (WPS), permanece en los puntos de acceso modernos con capacidad WPA2. Aunque entrar en una red segura WPA / WPA2 que utiliza esta vulnerabilidad requiere de 2 a 14 horas de esfuerzo sostenido con una computadora moderna, sigue siendo un problema de seguridad legítimo y WPS debe desactivarse (y, si es posible, el firmware del acceso el punto debe mostrarse a una distribución que ni siquiera admite WPS, por lo que el vector de ataque se elimina por completo).

La fuente HTG explica: La diferencia entre el cifrado inalámbrico WEP, WPA y WPA2 (y por qué es importante)

Seguridad inalámbrica: elegir la mejor contraseña de Wi-Fi

Actualmente, la mejor configuración de seguridad para el WiFi de su hogar u oficina es WPA2. WPA2 Enterprise es lo mejor si su organización lo admite, pero WPA2 Personal es ideal para el hogar y las oficinas pequeñas. No use WEP. Se ha descifrado hace mucho tiempo, y un atacante ni siquiera tiene que descifrarlo, la clave WEP se puede pasar como las contraseñas NTLM.

La técnica más común utilizada para hackear WPA / WPA2 es un ataque de diccionario. El atacante captura un protocolo de enlace de contraseña WPA y lo pasa a través de un programa que probará numerosas contraseñas de una lista de palabras. Aquí está la clave, si la contraseña no está en la lista de palabras, el hacker no ingresa a su sistema.

El uso de una contraseña larga y compleja contribuye en gran medida a mantener segura su red WPA2. Una combinación de letras mayúsculas / minúsculas, números y caracteres especiales es la mejor apuesta. Algunos prefieren usar una oración corta que signifique algo para ellos, mientras reemplazan algunas de las letras con números y agregan algunos caracteres adicionales.

Por ejemplo: M0untainD3wI$G00d4u!

Lo bueno de las contraseñas como esta es que en realidad significa algo para ti, por lo que será mucho más fácil de recordar.

Acabo de ejecutar un ataque de lista de palabras común contra mi contraseña WPA2. Intentó más de 1 millón de combinaciones de palabras de la lista sin dados. ¡Mi red sigue siendo segura!

¡Cuanto más descuidada esté tu contraseña, mejor!

Seguridad inalámbrica de origen : elegir la mejor contraseña de Wi-Fi

Otras lecturas

DavidPostill
fuente
ah, tuve una ojeada a esto, así que básicamente es algo detrás de escena que hace el enrutador; D
timoseewho
No del todo, ya que las tarjetas WiFi en sus diversos dispositivos también tienen que ser compatibles WPA2 + AES(la mayoría lo hacen, pero no algunos dispositivos más antiguos). Recuerde que el cifrado debe ser compatible en ambos extremos del enlace WiFi.
DavidPostill
2

Los estándares de seguridad inalámbrica no se tratan de cifrar su contraseña, se trata de usar una contraseña para generar claves y luego usar esas claves para cifrar su tráfico y autenticar a sus clientes

Una contraseña de cifrado es como una clave para una cerradura. La cerradura no asegura su llave, la cerradura asegura su casa o automóvil o caja de seguridad.

Los esquemas de seguridad inalámbricos como WPA2-PSK no son cifrados para su contraseña , son cifrados para su tráfico ; codifican el contenido de sus paquetes antes de que sean transmitidos por la radio, para que cualquiera que escuche no pueda ver lo que está haciendo en la red.

También son métodos de autenticación / autorización: los clientes que pueden demostrar que conocen la contraseña se consideran los clientes verdaderos y autorizados de esa red.

Pero sí tienen un efecto sobre la capacidad de descifrado de su contraseña o clave

Al igual que un buen bloqueo no debería revelar ningún detalle de cómo se ve su clave, un buen esquema de cifrado no debería filtrar ninguna información sobre su contraseña, o hacer que su contraseña sea fácil de aplicar por fuerza bruta.

No son las formas en que los esquemas de cifrado inalámbricos basados en contraseñas pueden tener un efecto sobre lo fácil que es para alguien de usar la fuerza bruta (un montón de conjeturas tan pronto como sea posible) para encontrar la contraseña.

En resumen, WPA2-PSK toma su contraseña y la codifica junto con el nombre de su red para generar una clave larga y difícil de predecir en un espacio de clave muy grande. Lo hace usando un algoritmo computacionalmente intensivo diseñado para ralentizar cuántas conjeturas de fuerza bruta puede calcular un atacante por segundo.

También se asegura de que su contraseña (o clave que genera a partir de su contraseña), encriptada o no, no se transmite por el aire. Los procesos de autenticación o encriptación no filtran información sobre su clave, por lo que los atacantes no reciben información que puedan usar para acelerar la adivinación de contraseñas por fuerza bruta. Por lo tanto, para que los atacantes intenten forzar su clave con fuerza bruta, tienen que intentar autenticarse contra su AP una y otra vez, y su AP puede ponerlos en la lista negra o al menos reducir la velocidad de los intentos de autenticación, lo que hace que sea ridículamente largo intentarlo adivina cada contraseña posible.

En los viejos tiempos de WEP, WEP no tenía ninguna de estas protecciones. Usualmente usaba su contraseña como clave, las claves eran cortas y su método de autenticación filtraba una copia simplemente encriptada de su clave cada vez que un cliente se unía a la red. Un atacante podría tomar esa clave simplemente encriptada y cargarla en una computadora rápida (o sistema de computación en la nube) y hacer conjeturas de la fuerza bruta a tasas extremadamente altas.

Una nota sobre WPA-PSK

Usted preguntó qué haría realmente la degradación de WPA2-PSK (AES-CCMP) a WPA-PSK (TKIP). Simplemente lo haría menos seguro al usar protocolos menos bien diseñados para la autenticación y el cifrado.

WEP se había basado en un algoritmo de cifrado llamado RC4, pero utilizaba RC4 extremadamente mal. Pero los conjuntos de chips 802.11 de esos días solo tenían hardware para hacer RC4, por lo que cualquier solución para los defectos de WEP necesitaba hacer uso de RC4, simplemente usarlo de una manera mucho mejor. Eso es lo que hicieron TKIP y WPA.

Pero al mismo tiempo que WPA / TKIP se apresuraba a parchear WEP, se descubrían debilidades en RC4 y el nuevo algoritmo AES más seguro estaba llegando a la escena criptográfica, por lo que estaba claro que el camino a seguir sería incorpore hardware AES en los conjuntos de chips de la era 802.11a (2002+) y 802.11g (2003+). Entonces, WPA2 con AES salió inmediatamente después de WPA, dejando obsoleto el WPA original a fines de 2003.

Había muy pocos dispositivos Wi-Fi que podían hacer WPA / TKIP pero no WPA2 / AES, y esos pocos dispositivos eran solo 802.11b y ni siquiera podían manejar muy bien unirse a una red mixta 802.11b / g cuando WPA / TKIP era habilitado, y probablemente estaban fuera del mercado antes de 2004. También resulta que dejar habilitado el modo de compatibilidad WPA / TKIP en una red WPA2 / AES aumenta la complejidad y expone errores, especialmente errores que rompen la multidifusión y el descubrimiento de servicios. Por lo tanto, a menos que tenga una Mac 1999-2002 con una tarjeta AirPort 802.11b, o una tarjeta Lucent WaveLAN, Agere ORiNOCO o Sony VAIO 802.11b de la era 802.11b similar, debe usar el modo solo WPA2.

Spiff
fuente