导语:随着2018年的到来,网络安全的形势也变得愈发紧张起来,继Intel处理器后门后,西部数据NAS也被曝出后门,为了应对大规模的安全事件再次发生,各个与网络安全相关的组织也加快了新标准的发布。

1515488419834781.png

随着2018年的到来,网络安全的形势也变得愈发紧张起来,继Intel处理器后门后,西部数据NAS也被曝出后门,为了应对大规模的安全事件再次发生,各个与网络安全相关的组织也加快了新标准的发布。

本周一,Wi-Fi联盟在CES上发布了WPA3标准 ,预计将在几个月后开始投入使用。其实WPA3标准的发布也是预料之中的事情,因为2017年10月,比利时安全研究人员  Mathy Vanhoef 发现了WPA2的安全漏洞,这个严重安全问题几乎影响了所有的 WiFi 设备,包括数百万路由器、智能手机、PC 和其他设备,这其中就包括了苹果 Mac、iPhone 和 iPad。

WPA2的崩溃

具体来说,就是无线覆盖范围内的攻击者可利用这个漏洞发起“密码重装攻击”(KeyReinstallation Attack, KRACK)。攻击者利用该技术能窃取敏感信息,例如信用卡号、密码、聊天信息、电子邮件、照片等。此类攻击对现代所有受保护的无线网络均奏效。攻击者甚至还可以根据网络配置注入并操控数据,例如,攻击者或可能将勒索软件或其它恶意软件注入网站。

这次的不同之处在于,它是首次不依靠窃取密码的攻击手段,直接针对存在14年来的WPA2协定本身弱点攻击,从终端装置接入Wi-Fi进行连线交握的阶段下手。

不过这个攻击的前提条件可能需要攻击者已经可以搜索到你的WiFi信号,也就是在既定的物理范围内才可以发动“KRACK”攻击。在“密钥重装攻击”中,攻击者可操控并重放加密握手信息,以此诱骗受害者重装已经在使用的密钥。当受害者重装密钥时,诸如增量传输包号(即Nonce)和接收包号(即重放计数器)会重置为初始值。要保证安全性,密钥仅应安装并立即使用,而这一点无法在WPA2协议中得到保证,攻击者可操控加密握手滥用漏洞。

不过对于WPA2的这个漏洞最疼痛还要数路由厂商了,因为WPA2加密协议几乎是所有路由的默认安全加密手段,一旦攻破网络安全就不复存在,而新的防御措施何时才能发挥作用是个很现实的问题。

无线安全协议的演变历史

目前普遍利用的是WEP、WPA与WPA2这三种。其中,WEP是最早被公认为最不安全的,这是因为初始设计上有许多严重的弱点,所以使用WPA也成了一种历史潮流。

WPA全名为Wi-Fi Protected Access,有WPA和WPA2两个标准,是一种保护Wi-Fi安全的系统,它是应研究者在前一代的系统WEP中找到的几个严重的弱点而产生的。WPA(Wi-Fi Protected Access)加密方式目前有四种认证方式:WPA、WPA-PSK、WPA2、WPA2-PSK。采用的加密算法有二种:AES(Advanced Encryption Standard高级加密算法)和TKIP(Temporal Key Integrity Protocol临时密钥完整性协议)。

WPA

WPA是用来替代WEP的。WPA继承了WEP的基本原理而又弥补了WEP的缺点:WPA加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥;WPA中还增加了防止数据中途被篡改的功能和认证功能。

WPA-PSK(预先共享密钥Wi-Fi保护访问)

WPA-PSK适用于个人或普通家庭网络,使用预先共享密钥,秘钥设置的密码越长,安全性越高。WPA-PSK只能使用TKIP加密方式。

WPA2(WPA第二版)

WPA2是WPA的增强型版本,与WPA相比,WPA2新增了支持AES的加密方式。

WPA2-PSK

WPA-PSK类似,适用于个人或普通家庭网络,使用预先共享密钥,支持TKIP和AES两种加密方式。

一般在我们家庭无线路由器设置页面上,选择使用WPA-PSK或WPA2-PSK认证类型即可,对应设置的共享密码尽可能长些,并且在经过一段时间之后更换共享密码,确保家庭无线网络的安全。

WPA3新增了四项功能

第一个功能是通过在几次失败登录尝试后,阻止WiFi身份验证过程,从而防止 暴力破解 。 这是许多网络或软件认证系统中的一个基本特征,并且非常适合部署在WiFi网络上,这些网络通常受到字典暴力破解攻击。

第二个功能是能够使用附近的WiFi设备,作为其他无线设备的配置面板。 例如,用户将能够使用他的手机或平板电脑来配置另一个没有屏幕的设备(如智能锁,智能灯泡等小型物联网设备)的WiFi WPA3选项。

第三和第四个功能与WiFi WPA3中包含的加密功能有关,其中第三个功能是“个性化数据加密”,它是对每个设备与路由器或接入点之间的连接进行加密的一个特征。第四个功能是改进的加密标准,WiFi联盟将其描述为“192位安全套件,它与来自国家安全委员会的商业国家安全算法(CNSA)套件,将进一步保护政府、国防和工业等更高安全要求的Wi-Fi网络。

这些改进可以阻止恶意者猜测密码,同时保证用户连接安全,这也适应了物联网安全的新要求,比如对于咖啡馆、餐厅、公共汽车等无加密的开放Wi-Fi,WPA3将对每台设备的通信数据进行加密,让黑客无法窥探用户的流量。

WPA3的普及

和此前任何一种加密方式一样,WPA3的普及必然也要经过一段时间,比如老路由器和新设备的兼容问题。比如WPA2已经推行了14年了,但其目前还不能被应用在某些老旧型号的网卡上。根据Wi-Fi联盟的消息,用户还必须等待几个月,才能购买到支持WPA3的设备。

源链接

Hacking more

...