發現龍血蟲漏洞影響WPA3 Wi-Fi安全和密碼

我們即將跨入21 世紀的第三個十年,可是密碼仍然至關重要我們的網絡安全。在本文中,我們想談談更多有關Wi-Fi安全性的信息,以及即使使用最新的安全協議也可以洩露密碼。

我們受到與WPA3 Wi-Fi安全協議相關的最新發現的激勵,這應該使密碼破解幾乎不可能。不幸的是,這個難以穿透的牆壁上有裂縫可能被網絡犯罪分子利用。我們將討論這些漏洞,我們還將討論任何常規用戶可以執行的Wi-Fi安全措施。

什麼是WPA3?

我們之前已經在我們的博客中廣泛介紹了WPA3 ,但是如果您忘記了這個協議或者您是第一次聽到這個協議,我們先回顧一下。

簡而言之,WPA代表“Wi-Fi保護訪問”。這些是由Wi-Fi聯盟創建和開發的Wi-Fi安全協議。為了讓技術發言落後,這些協議可以使Wi-Fi網絡更加安全。他們在那裡確保不只是任何人都可以連接到網絡。讓我們將WPA視為保護某個無線網絡的鎖。

因此,WPA3是最新的“鎖定”,提供更高的Wi-Fi安全標準。 WPA3帶有一種叫做“Dragonfly握手”的東西。每個WPA都有握手。正如您可以從名稱中看出的那樣,它指的是某種連接。 WPA握手是Wi-Fi網絡與嘗試訪問它的設備之間的連接。 WPA3協議帶有改進的握手類型。開發人員認為,Dragonfly握手使黑客無法記錄四次握手,從而導致他們無法啟動離線字典攻擊。

為了深入研究這一點,WPA3帶有四個新功能,而Dragonfly握手就是其中之一。除了幾乎不可能入侵網絡之外,它還提供了前瞻性保密。新的Wi-Fi安全協議還為用戶提供了一種新的安全方法,可以將設備添加到網絡中,並且它具有保護機制,使用未經身份驗證的加密來保護開放網絡中的設備。最後,它增加了密鑰大小(192位),如果該實體被認證為WPA3-Enterprise,它們將是強制性的。

所以,一切看起來都很好而且安全,但如果它是完美的,我們就不會寫這個條目,對嗎?如果我們有這個新的Wi-Fi安全協議可以讓事情變得超級安全,我們為什麼還要關注密碼是如何洩露的呢?

那麼,每個與網絡安全相關的新實體都需要仔細檢查。我們確信Wi-Fi聯盟在創建新的安全協議方面非常徹底,但是一些第三方研究總是一個好主意。因此,安全性研究Mathy Vanhoef和Eyal Ronen分析了Dragonfly的握手,他們發現了幾個可能嚴重削弱WPA3提供的Wi-Fi安全性的漏洞。他們將這些漏洞稱為龍血,並在他們的發現中更詳細地討論了這些漏洞。

什麼是龍血?

我們可以說Dragonfly握手有兩個主要缺陷。這些是降級攻擊和旁道洩漏。這兩個漏洞都可以通過竊取Wi-Fi網絡密碼來利用. 如果有人在獲得網絡密碼後闖入網絡,則Wi-Fi安全性將受到損害,攻擊者可以輕鬆讀取信用卡號,聊天消息,電子郵件,個人密碼等敏感數據。

研究人員還發現了WPA3使用的可擴展身份驗證協議(EAP)中的漏洞。此身份驗證框架不是身份驗證機制,但它有助於其他身份驗證方法的工作。它就像一個調解器,可以使大約四十種不同的身份驗證方法正常運行。 Vanhoef和Ronen說,在WPA3安全性方面,其中一種方法EAP-pwd可以被視為一種負擔。

如果有人設法對EAP-pwd設計攻擊,他們可以恢復用戶的密碼,因此,犯罪分子可以冒充任何用戶而無需直接竊取密碼。幸運的是,這種身份驗證框架並不經常使用,但安全問題是真實的,未來一定要解決它以增強Wi-Fi安全性。

此外,當研究人員發現重要安全協議,軟件或與網絡安全相關的其他實體的漏洞時,他們會立即通知相關方。因此,這有助於他們改進他們的產品和服務。就Dragonblood漏洞而言,Wi-Fi聯盟還在其網站上發布了以下聲明:

最近發表的研究發現,WPA3™的早期實施中有限的漏洞 - 個人<...>沒有正確實施某些加密操作,或使用不合適的加密元素。 <...>這些問題都可以通過軟件更新得到緩解,而不會影響設備一起工作的能力。沒有證據表明這些漏洞已被利用。

這表明軟件和安全開發人員了解最新研究,並相應地對其做出反應。換句話說,普通用戶不需要忘記他們的密碼是如何洩露的。普通用戶應該盡其所能來確保他們的Wi-Fi網絡安全。

普通用戶可以做些什麼呢?嗯,首先,不要讓您的Wi-Fi網絡保持打開狀態,並始終使用強密碼保護它。您的網絡提供商應該在您的網絡設置時為您提供默認路由器密碼,但您始終可以將其更改為更強大的密碼。如果您發現自己很難提出強密碼,您可以隨時使用免費的密碼管理工具,自動為您生成唯一的密碼。

此外,您還不必擔心Dragonblood和WPA3。此安全協議仍處於測試階段,因此當它被全球採用時,您可以確定其大多數漏洞和錯誤都將得到修復。 Wi-Fi安全專家同意WPA3仍然比WPA2更安全,如果您的路由器支持WPA3,您只需要確保它具有最新的更新。

May 23, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
6 + 6是什麼?