Şu anda WPA2 ve AES şifrelemesi ile ayarlanmış bir ağım var, şifre 8 karakter uzunluğunda ancak rastgele oluşturuldu ve sözlük kelimesi içermiyor. Ancak bilgisayarların artan gücü ve el sıkışmalarını kırma yetenekleri hakkında endişeliyim, çünkü uzunluğunu artırmayı düşünüyordum.
Çok paranoyak olsaydım 63 karaktere kadar çıkabileceğimin farkındayım, ancak maalesef bu şifreyi Android telefonlar ve diğer cihazlara yazmam gerekiyor), bu yüzden oldukça kısa tutmayı tercih ederim kolayca yazılmasını sağlamak için.
WPA2 şifreli ağı güvence altına almak için 16 karakterlik rasgele bir şifre yeterli olur mu? Parola uzunlukları için, özellikle kablosuz ağlar için geçerli öneri nedir ve ağımı standart bir saldırıya karşı korumak için hangi parola uzunluğu yeterli olur?
Evet, 16 karakter fazlasıyla yeterli, eğer bir şifreleme gücü PRNG kullanılarak rastgele oluşturulmuşlarsa. Küçük harf, büyük harf ve rakam kullanırsanız ve gerçekten rasgele oluşturursanız, 16 karakterlik bir parola 95 bit entropiye sahiptir. Bu fazlasıyla yeterli. Aslında, 12 karakter yeterlidir; size 71 bit entropi verir, bu da saldırganların şifrenize saldırmaya çalışabileceği tüm saldırılara karşı güvenlik için fazlasıyla yeterlidir.
Parolanız 12 karakter veya daha uzun olduğunda, parolanın sisteminizdeki en zayıf bağlantı olması pek olası değildir. Bu nedenle, daha uzun bir şifre seçmenin pek bir anlamı yoktur. 60 karakterlik bir şifre kullanmanızı öneren kişileri görüyorum, ancak bunu yapmanın mantıklı bir temeli olduğunu düşünmüyorum. Benim görüşüme göre kullanılabilirlik çok önemlidir: güvenlik mekanizmasını kullanmayı çok zorlaştırırsanız, insanlar sinirlenir ve gelecekte kullanmak için daha isteksiz olabilir, ki bu iyi değil. Kullanılmayan güvenli bir mekanizma kimseyi iyi yapmaz. Bu yüzden, 12 karakter veya 16 karakter uzunluğunda daha kısa bir şifre seçmeyi tercih ediyorum, çünkü canavar 60 karakterlik bir canavardan mükemmel bir şekilde yeterli ve daha kullanışlı.
Şifreyi nasıl seçtiğinize dikkat edin. /dev/urandom
Gibi kriptografik olarak güçlü bir PRNG kullanmanız gerekir. Örneğin, Linux'ta kullandığım basit bir komut dosyası:
#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15
Şifreleri kendiniz seçmeye çalışmayın. İnsanların seçtiği şifreleri tahmin etmek gerçekten rastgele bir şifreden daha kolaydır.
Çok önemli bir uyarı: Parola uzunluğunun ötesinde başka sorunlar da var. WPS'yi kapatmanız, WPS'nin önemli güvenlik delikleri vardır olması çok önemlidir. Ayrıca, WPA2 kullanmanızı öneririz; WPA-TKIP'den kaçının ve asla WEP kullanmayın.
Bu soru daha önce birçok kez sorulmuştur, sayıları, işaretleri, küçük ve büyük harfleri olan 12 karakterlik bir parolanın bruteforce olması çok uzun zaman alacaktır. Parolanız sözlükte mevcut değilse, bir kaba kuvvet saldırısı kullanmanız gerekir. Denenen şifre miktarı hakkında bir tahmin yapabiliriz:
94 olası karakteriniz (ASCII) varsa ve şifreniz 12 karakter uzunluğundaysa. O zaman sahip olacaksınız:
94^12 = 475 920 314 814 253 376 475 136 possibilities
Modern bir GPU ile (Bunu Tom's Hardware üzerinde buldum):
Saniyede yaklaşık 215.000 tahmin alabilirsiniz. Yani ne kadar süreceğini araştırırsak:
475920314814253376475136/215000/3600/24/365/1000= 70190000
Millenia şifrenizi tahmin etmek (aslında bu miktarın yarısı istatistiksel olarak).
Bunun için tek bedene uyan bir cevap yok. Kısaca şuna gelir: sizin için doğr olan uygun bir güvenlik ve kullanılabilirlik dengesi istiyorsanız, şifreyi tahammül edebildiğiniz kadar uzun ve karmaşık hale getirin.
Şahsen benim için, erişim noktalarında 63 karakterlik rastgele oluşturulmuş bir PSK ayarlama konusunda hiçbir sorunum yok. Evet, akıllı cihazlara ve benzerlerine girmek zor olabilir. Ama kendime bunu hatırlatmaya devam ettiğim şey, sadece girmem gerektiğidir cihaz başına bir kez. Ağıma yeni aygıtlar eklemek, ağı gerçekten kullandığım süreye ve neredeyse kırılmaz bir parolanın güvenlik geliştirmesine kıyasla nispeten nadir ve önemsiz bir durumdur.
Ağınızdaki cihaz başına 63 karakterlik rastgele oluşturulmuş bir şifrede delme ile yaşayamazsanız, kendiniz için daha kolay sindirilebilen bir şey elde edene kadar ölçeklendirin. Belki de sizin için anlamlı olan uzun, rastgele görünen bir şifre yapmanın mantıklı bir yolunu bulun. Ağınızı ne kadar güvenceye almak istediğinize bağlı olarak, MAC adresi filtreleme, ağ bölümleme (Wi-Fi ve LAN arasındaki güvenlik duvarı) ve VPN gibi kapsamlı savunma eklemelerini de düşünebilirsiniz.
Genel şifre önerileri (Wi-Fi ve diğer) ile ilgili olarak, benim önerim:
En altta senin için Perl'de küçük bir senaryo yazdım. Yine de yorumlayabilmeli ve cevabınızı bir hesap makinesiyle almalısınız.
Parolanız bir sözlükte veya bunun için Rainbow tabloları üretecek kadar kısasa, etkili gücün hesaplanacak olan çok daha zayıf olduğunu unutmayın. Bir parolanın ne kadar hızlı test edilebileceğini belirlemek için PBKDF2'yi karşılaştırma (Lucas, bazı ağır grafik donanımıyla 215.000'i gösteriyor). Ortak SSID adınız ("linksys") varsa Rainbow tablolarının bir faktör olacağını, ancak çok daha karanlık bir şeyiniz olmayacağını unutmayın.
#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.
$charRange = 0;
$length = 0;
$entropy = log($charRange)/log(2);
#Operations per second -- how fast a password can be tested
#using the given algorithm
$opspersec = 0;
$strength = $entropy * $length / $opspersec / 2;
print "On average, it will take $strength seconds to crack your password."
Bunu ele almak için en az 2-3 yol var.
Ağdaki veriler bir tür düzenleme (HIPAA, PCI, vb.) İle korunuyorsa, o zaman denize girerim ve hepsini yaparım. Eminim daha fazlası var ama aklımdan çıkabileceğim tek şey bu.
Yönlendiricinizin markası/modeli nedir?
Zorunlu xkcd referans.
Asıl önemli olan, şifrenizin ne kadar entropi içerdiğidir. Sorun "neye kıyasla entropi" dir? Parolanız saldırganın 100 Word sözlüğündeyse, geniş bir karakter türü karışımı kullanıyor olsa bile 8'den az entropi vardır. Pa $$ w0rd. Duyduğum genel kural, İngilizcenin harf başına yaklaşık 3 bit entropi olmasıdır, bu yüzden aptalca bir şey yapmazsanız, ciel (64/3) = 22 harfle iyi olmalısınız.
Ne olursa olsun, D.W. olarak 8 karakter yeterli değildir. açıkladı.