حملات فای رمز عبور راحت تر از گذشته است

کمی ساده تر برای حمله به برخی از شبکه های بی سیم از قبیل فکر می شود. به همین دلیل Jens Steube، توسعه دهنده ابزار محبوب cracking hashcat، راه جدیدی را برای ایجاد فرایند ساده تر در شرایط مناسب پیدا کرده است.
ما یک حمله جدید را روی WPA / WPA2 کرده ایم. هیچ ضبط کامل دستکاری 4 طرفه لازم نیست. در اینجا تمام جزئیات و ابزارهایی که نیاز دارید: https://t.co/3f5eDXJLAe pic.twitter.com/7bDuc4KH3v
– hashcat (hashcat) 4 اوت 2018
قبلا اولیه روش برای ترک کلمه عبور برای شبکه های بی سیم با استفاده از رمزگذاری WPA2، برای مهاجم برای ضبط دستیابی چهار طرفه بین یک دستگاه بی سیم و روتر بود. پس از آن مهاجم با استفاده از ابزارهای دیگر تلاش کرد تا رمز عبور را که مطابق با روشی چهارگانه است را ترک کند. با این وجود این روش سنتی ممکن است پیچیده باشد. اگر هیچ کس در حال حاضر در ارتباط با تأیید هویت به شبکه بیسیم متصل نیست یا مجبور به تأیید هویت به شبکه بیسیم باشد، ممکن است مجرمان به مدت زمان زیادی صبر کنند تا دستخوش چهار راه را بگیرد. در برخی موارد، یک مهاجم مجبور به استفاده از یک حمله Authentication برای مجبور کردن مشتریان متصل به دوباره شناسایی می شود. حمله deauthentication شامل جعل هویت دستگاه های متصل شده و گفتن روتر که دیگر متصل نیستند. پس از آن مهاجم می تواند دستکاری چهار طرفه ضروری را به عنوان دستگاه به طور خودکار مجددا شناسایی کند. این تنها چالش هایی نیست که یک بازیگر تهدید کننده با استفاده از یک حمله متعارف مواجه است. گاهی اوقات، دستگاه متصل شده از لحاظ جسمی خیلی دور از مهاجم است و باعث می شود تا ترافیک احراز هویت آن به روتر خراب شود. گاهی اوقات کاربری که به شبکه بیسیم وصل می شود، رمز عبور را خراب می کند و زندگی را برای مهاجم مشکل می کند. حتی بدتر از همه، برای مهاجم، این است که اگر حمله هویت هویت خود را با مدافعان شبکه محلی هشدار شناسایی کرده و آنها را در دستبند ها برداشته شود، به نظر می رسد، هرچند در برخی از شبکه های بی سیم، این کسب و کار دستیابی به دست دست دادن ضروری نیست. حمله جدید Steube به سادگی شامل صحبت کردن با روتر و ارسال یک بسته درخواست ارتباط می شود. بعضی از روترها با PMKID (شناسه Master Key Pairwise) پاسخ خواهند داد. سپس مهاجم می تواند از ابزارهایی استفاده کند که تلاش می کنند این PMKID را از بین ببرند، همانطور که آنها دست به دست هم می دهند. وابستگی بیشتر به تعامل با دستگاه های در حال حاضر متصل نیست.
این قطعا مزیت مهاجم را در شبکه های خاصی افزایش می دهد. اکنون مهاجم می تواند آنچه را که سریعتر و مستحکم تر نیاز دارد دریافت کند. اما محققان خاطر نشان کرده اند که سرعت فرایند ترک خوردگی واقعی رمز را تغییر نمی دهد. مهاجم همچنان باید از ابزارهای خرابکاری متعارف استفاده کند که اساسا لیستی از کلمات عبور علیه دادههای دستگیر شده را امتحان می کند تا زمانی که یک صحیح پیدا شود. این بدان معنی است که یک دفاع مناسب می تواند یک رمز عبور بسیار پیچیده WPA2 باشد که چندین دهه طول خواهد کشید. یا ممکن است فقط به استاندارد جدید رمزگذاری WPA3 ارتقا دهید، اگر این امکان برای شما باشد.
من برخی از افرادی را می شنیدم که این مکانیزم جمع آوری / ترک خوردگی جدید WPA (PMKID) سریعتر است.
. این فقط (گاهی) ساده تر برای جمع آوری مواد برای شکستن است. pic.twitter.com/o2YYwoZAWS
– XORcat ☕️ (XORcat) 9 اوت 2018
اعضای جامعه امنیت اطلاعات همچنان در حال تحقیق و آزمایش برای تعیین روترها و تنظیمات روتر این روش جدید بهره برداری را می توان در برابر آن استفاده کرد. حمله تایید شده است برای کار در WPA / WPA2-PSK شبکه های بی سیم رمزگذاری شده با توابع رومینگ فعال شده است. رومینگ عمدتا یک تابع از شبکه های بی سیم بزرگ شرکت است، به این معنی که شبکه های تجاری ممکن است در معرض خطر بیشتری نسبت به کاربران خانگی باشند. با این حال، برخی از محققان گزارش کرده اند که توانسته اند از این حملات علیه تجهیزات مصرف کننده نیز استفاده کنند. در نهایت، به احتمال زیاد به سیستم عامل و پیکربندی هر دستگاه می رسد که تعیین می کند که آیا این حمله می تواند در برابر آن مورد استفاده قرار گیرد یا خیر. به همین دلیل بهترین دفاع شما یک رمز عبور قوی است. مهم نیست که آیا مهاجم از یک روش سنتی برای رمزگشایی رمز عبور شبکه خود استفاده می کند یا روش PMKID جدید، اگر گذرواژه طولانی و پیچیده باشد، غیرممکن است. اگر یک مهاجم به شبکهی دستگاه شما متصل باشد (شاید شبکهیی که کنترل نکنید)، مهم است که شما همچنان سطح بالایی از حریم خصوصی را حفظ کنید و از حملات مردانه در میان خود دفاع کنید که در آن مهاجم دستکاری می کند یا ترافیک خود را خراب می کند در میان دیگر دفاع، استفاده از سرویس VPN می تواند به محافظت از شما در برابر حملات مردانه در میان کمک کند.
واقعا حمله ناموفق PMKID یک آسیب پذیری است. آن را بیشتر به عنوان یک روش جدید سوءاستفاده یا حمله استفاده کنید. به همین دلیل است که طراوت به نظر می رسد که Steube یافته های خود را با فانتزی معمولی و آرم کمپانی منتشر نکرده است که امروزه در زمینه امنیت اطلاعات رایج است. کار او کمک می کند تا تاثیر استفاده از رمز عبور ضعیف را برجسته کند، اما آسمان در حال سقوط نیست. امنیت در مورد لایه هاست. اگر شما دستگاه خود را به درستی امن کرده اید و از یک سرویس VPN استفاده می کنید، مهاجمی که به شبکه بی سیم شما متصل است ممکن است ناامید شود و حرکت کند. هدف این است که مهاجمین را از بین ببریم.
درباره جیمز گالاچر
جیمز گالاچر یک متفکر اخلاقی هکر، موسیقیدان و آنارشیسم فلسفی است. او یک تستر نفوذ با تجربه است، ارائه مشاوره شبیه سازی دشمن برای سازمان ها در سراسر ایالات متحده آمریکا جیمز به تازگی تکمیل 10 ماه زندگی اشباح در یک اتوبوس مدرسه تبدیل شده با خانواده اش، هک کردن به شبکه از بیابان. VPN Service "title =" VPN Service "/> خدمات VPN سرویس" VPN Service "title =" سرویس VPN "/>
اگر یک رمز عبور یک دنباله ای از کاراکترها را تکرار کند، آیا راحت تر به نظر می رسد؟
درست نیست دقیقتر:
-
برای هر کلمه عبور تولید شده توسط انسان (براساس یک کلمه یا دنباله شخصیت شناخته شده)، تکرار توالی شخصیت از کلمه پایه برای ایجاد یک رمز عبور طولانی تر، ، یک رمز عبور خاص را فقط کمی کوچک می کند سخت تر است برای ترك كردن از كلمه پایه پایه …
-
… اما رمز عبور طولانی تر خواهد شد ذاتا ضعیف تر از سایر رمزهای عبور مشابه كه طول آن با استفاده از طول قوی تر ایجاد می شود، روش گسترش …
-
… و برای اندازه گیری قدرت رمز عبور سخت است که تفاوت را بگوید.
برای درک اینکه چرا، ما نیاز به درک هر دو از استراتژی حفظ رمز عبور انسانی – و محدودیت ها از رمزهای عبور قدرت است.
استراتژی رمز عبور انسانی مانند تکثیر نامه ها یک راه معمول برای برآورده ساختن نیازهای رمز عبور است چون بارگیری شناختی افزایشی برای کاربر کم است (فقط نیاز به کاربر برای به یاد آوردن اطلاعات کمی بیشتر). F یا مثال، اگر حداقل حداقل نیاز به رمز عبور 12 بود، پس از آن یک رمز عبور paaaaassword
مطابق با این نیاز، با کاربر فقط باید دو مورد را به یاد داشته باشید:
- رمز عبور من با کلمه
رمز عبور آغاز می شود
به عنوان پایه - سپس فقط چهار بار
a
را تکرار کردم.
افزایش طول رمز عبور با یک "ترفند" تنها کمی کم مقاومت حمله را بهبود می بخشد. در حالی که خالص شانون آنتروپی رمز جدید است بالاتر است، آنتروپی رمز عبور جدید تنها بسیار کمی بالاتر از کلمه پایه خود است – به دلیل آن است واقعا تنها یک قطعه اطلاعات اضافی دیگر – که بدین معنی است که می توان آن را به راحتی توسط مهاجمان مورد استفاده قرار داد. بسیاری از استراتژی های تقویت رمز عبور (اضافه کردن ارقام، اضافه کردن چند کاراکتر خاص مشترک، دو برابر شدن کلمه و غیره) بسیار شناخته شده است به عنوان cracker رمز عبور. بیشتر نرم افزار cracking می تواند این استراتژی ها را با سرعت بسیار بالا امتحان کند.
بنابراین استراتژی هایی مانند افزودن شخصیت های تکراری به یک رمزعبور تولید شده توسط انسان آسان است تا در یک حمله رمز عبور اجرا شوند … اما آنها را در رمز عبور ساده تر اجرا می کنند. قدرت متر.
به همین دلیل است که مترهای قدرت رمز عبور به وضوح نادرست هستند. یک متر می تواند اندازه گیری های گسترده ای از قدرت (پیچیدگی، قوانین ترکیب)، و تقریبا برخی از حملات اساسی (ماسک، واژهنامه ساده، و غیره) استفاده … اما غیر متر برای شمارش میلیون ها ترکیب پایه کلمات و قوانین تولید رمز عبور انسانی … بدون شروع به رفتار بیشتر و بیشتر مانند یک موتور cracking رمز عبور. و چنین مترها باید بسیار سریعتر از آن باشند تا بتوانند به کاربر بازخورد واقعی بدهند.
پس استراتژی تکرار شخصیت ها فقط کمی افزایش آنتروپی موثر را افزایش می دهد که به حملات با سرعت بالا سقوط می کند … اما متر قدرت قدرت رمز عبور نمی تواند از همان استراتژی های حمله برای گفتن به تفاوت
مدیریت کلید – با خیال راحت به سایت راه دور از کد مبتنی بر ابر متصل شوید
من کامپیوترم را در منزلم به یک سرور راه دور وصل میکنم.
برای برقراری ارتباط با سرور، از یک فایل config استفاده می کنم که حاوی کلیدهای خصوصی و عمومی و یک عبارت عبور است. کد من فایل فایل پیکربندی را می خواند و یک پیام حاوی امضا را از کلید خصوصی، کلید عمومی و عبارت عبور می نویسد.
حالا من می خواهم کد خودم را روی ابر اجرا کنم، مثلا AWS.
فرض بر این است که فایل config را در AWS ذخیره نکنید، بنابراین راه درست برای اتصال ایمن از AWS به سرور راه دور چیست؟
آن #39 &; ها راحت تر از شما فکر می کنم برای خرید مرد & s #39; کت و شلوار آنلاین زمانی که شما ترکیب و مطابقت
آن استفاده می شود که خرید کت و شلوار مورد نیاز متخصص دقت اندازه گیری و شما تا زمانی که شما تا به حال کامل تغییر کمی اینجا و کمی آنجا, اتصالات ، یکی از کت و شلوار نوع منحصر به فرد به شما.
بود که پس از آن این است که در حال حاضر, و امروز آن & #39; ها راحت تر از شما فکر می کنم. دیگر نیازی به موضع سفت و حوصله انتظار کمی مشغول، یکی پایین اندازه گیری از قفسه سینه و کمر jots.
بدون خجالت بیشتر از نیاز به پایان یک غریبه poking در حالی که اندازه گیری خود را داخل پا. آن & 39 # در حال حاضر بسیار ساده تر و بسیار راحت تر است.
البته، شما باید اندازه گیری و به خودتان، بنابراین اندازه گیری آسان است آن ها بهترین & #39; به یک دوست کمک بخواهید. به یاد داشته باشید وجود دارد & #39; داخل پا اندازه گیری می شود، بنابراین شما فقط بپرسید دوست که خواهد شد نه با داشتن به پایان نوار اندازه گیری علیه محل انشعاب بدن انسان خود را نگه دارید خجالت مطمئن باشید!
اگر شما هستید پوشنده لباس کت و شلوار معمولی و شما & #39; و لباس قبل از خرید، سپس آن آسان است به انجام دوباره باید بود. شما باید به اندازه معمول خود را بدانید و بدون وزن و اتاق وجود دارد حجم، تغییر از شما خریداری شده خود را با توجه به گذشته شما نقل قول ساده اندازه که می توانید.
روش ترکیب و مطابقت کلید واقعی برای موفقیت است. با مخلوط و تطابق وجود & #39; s سازش در اندازه و شما چیزی نزدیک ساخته شده را به کت و شلوار، اندازه گیری می تواند دستیابی به که کسری از هزینه. شما همچنین می توانید شلوار لباس زیر اضافی به زندگی بیشتر از کت و شلوار خود را به عنوان رشد اقتصادی اغلب اقامت طولانی پس از شلوار شروع به محو شدن بزرگ به دنبال خرید.
به طور خلاصه، خرید کت و شلوار ساده و حتی آنلاین انجام می شود. اکثر مغازه های مجاز بازده اجازه می دهد اگر اندازه گیری خود اشتباه است اما آن & #39; s معمول آن را حق! روش ترکیب و مطابقت نیز بزرگ مناسب و اجازه می دهد شما را به خرید لباس زیر اضافی شلوار به کت و شلوار خود را تضمین می کند آخرین دیگر.
آن استفاده می شود که خرید کت و شلوار مورد نیاز متخصص دقت اندازه گیری و شما تا زمانی که شما تا به حال کامل تغییر کمی اینجا و کمی آنجا, اتصالات ، یکی از کت و شلوار نوع منحصر به فرد به شما.
بود که پس از آن این است که در حال حاضر, و امروز آن & #39; ها راحت تر از شما فکر می کنم. دیگر نیازی به موضع سفت و حوصله انتظار کمی مشغول، یکی پایین اندازه گیری از قفسه سینه و کمر jots.
بدون خجالت بیشتر از نیاز به پایان یک غریبه poking در حالی که اندازه گیری خود را داخل پا. آن & 39 # در حال حاضر بسیار ساده تر و بسیار راحت تر است.
البته، شما باید اندازه گیری و به خودتان، بنابراین اندازه گیری آسان است آن ها بهترین & #39; به یک دوست کمک بخواهید. به یاد داشته باشید وجود دارد & #39; داخل پا اندازه گیری می شود، بنابراین شما فقط بپرسید دوست که خواهد شد نه با داشتن به پایان نوار اندازه گیری علیه محل انشعاب بدن انسان خود را نگه دارید خجالت مطمئن باشید!
اگر شما هستید پوشنده لباس کت و شلوار معمولی و شما & #39; و لباس قبل از خرید، سپس آن آسان است به انجام دوباره باید بود. شما باید به اندازه معمول خود را بدانید و بدون وزن و اتاق وجود دارد حجم، تغییر از شما خریداری شده خود را با توجه به گذشته شما نقل قول ساده اندازه که می توانید.
روش ترکیب و مطابقت کلید واقعی برای موفقیت است. با مخلوط و تطابق وجود & #39; s سازش در اندازه و شما چیزی نزدیک ساخته شده را به کت و شلوار، اندازه گیری می تواند دستیابی به که کسری از هزینه. شما همچنین می توانید شلوار لباس زیر اضافی به زندگی بیشتر از کت و شلوار خود را به عنوان رشد اقتصادی اغلب اقامت طولانی پس از شلوار شروع به محو شدن بزرگ به دنبال خرید.
به طور خلاصه، خرید کت و شلوار ساده و حتی آنلاین انجام می شود. اکثر مغازه های مجاز بازده اجازه می دهد اگر اندازه گیری خود اشتباه است اما آن & #39; s معمول آن را حق! روش ترکیب و مطابقت نیز بزرگ مناسب و اجازه می دهد شما را به خرید لباس زیر اضافی شلوار به کت و شلوار خود را تضمین می کند آخرین دیگر.