最好的家庭无线网络加密算法是什么?

信息安全 加密 网络 无线的 wpa2 哭泣
2021-08-15 17:00:06

最好的家庭无线网络加密算法是什么?我意识到最好的答案可能会随着时间的推移而改变,希望人们可以在新标准出现时提供更新的答案。到目前为止,截至 2015 年初,我的知识是:

  • WEP - 可怕/过时,但总比没有好(或者甚至可能比没有更糟糕,因为它提供了一种错误的安全感,如下所述)。
  • WPA - 提供一些安全性,但使用 WPA2 可能更好。
  • WPA2 - 相当不错(尤其是使用 AES 加密),但仍然不完美。这是我所知道的最好的家庭网络。

对于家庭无线网络,有没有比 WPA2 更好的加密标准,还是最好的?如果它是最好的,那么容易破解吗?

如果确实如其他人所说的那样 WPA-2 不够用,并且没有更好的东西存在,那么这似乎是一个好主意,甚至可能是一个赚钱的好机会,让某人开发更好的东西!

编辑(2019 年 7 月 1 日): WPA3 现在是比 WPA2 更好的选择。

3个回答

从安全的角度来看,我认为您问错了问题。WPA2 是基本答案。但它是完全不完整的!更完整的答案是将 WPA2 视为您的无线网络防御的一个组成部分。当然,有使用证书/vpn 等的强大加密方法,但这些方法对于大多数人来说太难设置,通常是为企业保留的。因此,让我们假设 WPA-2 是基本问题的“最佳”答案。但是...正如您将看到的,攻击者有许多弱点,最终会泄露您的 WPA2 密码,因此我将它们包含在以下几点中。

我假设很多人会登陆此页面并看到答案说'是的,只需使用一个好的密码和 WPA2 加密',这是一个糟糕的建议。您的 WPA2 网络仍然完全易受攻击,您将看到:

  1. 您可以做的主要事情是成为最难在您周围破解的人。这是最大的威慑。如果我要破解你,但你花费的时间太长或破解成本太高,我会试试下一个人。这将需要在您的路由器设置中进行一些调整。

  2. 我假设您永远不会使用 WEPyoutube 上 10 分钟,你妈妈就能破解它。

  3. 关闭 WPS。这极易受到暴力攻击,并且可以在几秒钟内被黑客入侵,即使您使用 WPA2 的密码非常复杂reaver 和 revdk3 或 bully 等工具可以轻松解决这些问题。如果您的路由器支持速率限制,您只会受到更多保护,这会减慢速度,但不能防止对您的路由器引脚进行暴力攻击。最好是安全的,只需关闭 WPS 并 100% 安全地抵御这些攻击。

  4. 关闭远程访问、DMZ、UPNP、不必要的端口转发

  5. 打开,任何内置的入侵检测系统,MAC地址过滤(如果您家的访客想要访问您的wifi,设置起来很繁琐(您必须将您的朋友设备添加到路由器的MAC白名单才能启用访问)这可以是通过轻松伪造 MAC 地址进行黑客攻击,并且通过 airodump-ng 扫描获取 MAC 也很容易,但是,这会减慢攻击者的速度,要求他们靠近客户端设备(手机或白名单中的笔记本电脑)。对一些远程攻击将非常有效。

  6. 有一个非常长的、非人类的、复杂的密码。如果您曾经尝试过解密密码,您就会知道越复杂、越难以预测且越长,破解密码的难度就会成倍增加。如果您的密码甚至与一个单词很相似,或者可能是一组单词(请参阅:马尔可夫链),那么您就完成了。也不要费心在密码的末尾添加数字,然后是符号......这些很容易被字典攻击所破解,其规则可以修改字典以使其充实以涵盖更多密码。这将获取字典中的每个单词或单词,并添加流行的语法和结构,例如看起来像“大写字母、小写字母、一些数字然后是符号”的密码。Cat111$、Cat222# 或任何饼干想要的东西。这些词典很大,这里的目标是“计算成本高”。如果您使用基于超高速云的破解计算机破解成本太高,那么您几乎可以安全对抗任何人。因此,理想情况下,您希望使用最多 64 个字符作为密码,并让它看起来像您见过的最混乱的、恼人的符号注入一块不连贯的大小写运球。虽然在 14 个字符之后你可能会安全,这里有相当多的熵,但是添加字符比解密要容易得多。

  7. 更改您的路由器默认密码和 SSID没有人这样做,但每个人都应该这样做。这实际上是最愚蠢的事情。另外,不要偷懒。并且不要在SSID中保留路由器的型号,那只是自找麻烦。

  8. 更新路由器的固件。另外,如果您的路由器很旧。把它扔掉,买一个更新的,因为你的路由器很可能在 routerpwn.com/ 这样的网站上,而你已经输掉了这场战斗。旧路由器漏洞百出,很容易被拒绝服务,通常没有防火墙或入侵检测系统,通常没有暴力 WPS 速率限制等。买一个新的。

  9. 了解邪恶双胞胎黑客防止这种情况发生的最简单方法是阻止您的设备自动连接。但是,这可能仍然会困扰您。熟悉 wiphishing 和 airbase-ng 等软件后,这些应用程序会克隆您的路由器,然后拒绝服务您的路由器,使您的设备连接到攻击者克隆的路由器,从而让他们拦截您的流量。他们通常会在这里尝试从您那里获取 WPA2 密码如果您确实知道路由器的 Web 控制台是什么样子那么您会更安全地免受这些攻击,因为这些类型的应用程序附带的默认网络钓鱼页面通常看起来很旧,但是老练的攻击者可以创建一个很好的登录页面。简单地说,如果您的“路由器”希望您输入密码,请不要输入!只有在创建密码时才会询问您,当您专门登录 192.168.0.1 或 10.1.1.1 用户界面时,您就会被钓鱼,游戏结束。为了防止这种攻击,您还可以人为地缩小路由器的范围。拉出天线并在其周围创建一个小法拉第笼,留下一个指向您最理想 wifi 位置的小区域。或者,只需将电缆连接到您的笔记本电脑或计算机,直到攻击者放弃。

  10. 握手攻击非常流行,这是攻击者使用您的密码向连接到路由器的任何人发送取消授权数据包的地方,然后当该设备(例如 iPhone)尝试重新连接时,它会捕获“4 次握手”,让设备和路由器使用您的 WPA2 密码进行身份验证。这是黑客使用第 6 点中的密码攻击离线破解的方法。但是,如果您使用了强密码(如第 6 点所述),那么您已经减轻了这种攻击

  11. 所以我专注于基于路由器的防御,但实际上还有更简单的攻击方式。如果攻击者知道你是谁,你就完蛋了。通过一点点社交工程,他们可以找到您的 facebook 您的电子邮件或其他联系方式,并插入一些不可见的恶意代码片段并劫持您的整个计算机,因此他们可以简单地检查您计算机中的 wifi 设置并获取您花了这么长时间制作的超强密码。一种流行的方法是向您发送一封垃圾电子邮件,并一直发送到您单击取消订阅,就像您通常对垃圾邮件所做的那样,除了这个链接是最糟糕的事情。你违反了电子邮件的基本法则。不要点击电子邮件中的链接。如果你必须点击一个,

  12. 如果有人可以访问您的任何设备,或者插入/让您将设备插入您的笔记本电脑,那么您就走了。诸如USB 棒“usb 橡皮鸭”之类的东西可能会危及您的计算机并将您的 WPA2 密码泄露给相对新手的黑客。

  13. 如果您使用无线键盘,并且您住在攻击邻居附近,他们可以使用诸如键之类的东西来破坏您的 wifi,等等。这可以创造性地与邪恶的双胞胎攻击一起使用,以增加您输入密码的可能性(它会监听无线键盘信号)。防止这种攻击的方法是不使用无线微软键盘。

还有很多其他的方法,你永远无法阻止它们,

通常如果你的路由器被锁定,有一个很好的密码,关闭了 WPS,打开了 WPA2,一个有密码的强(新)路由器,没有远程 Web 访问,关闭了不必要的端口,使用了 MAC 过滤和入侵检测路由器已打开,您通常会阻止甚至非常敬业的攻击者。他们将不得不尝试更难的方法,并且可能会放弃。

简而言之,WPA2 是目前最安全的无线安全方案。

个人和企业

它支持两种主要的身份验证模式,称为 WPA2-Personal 和 WPA2-Enterprise。前者使用预共享密钥 (PSK),通常被认为最适合家庭网络,而后者是需要认证服务器的 802.1x。

WPS

第三种身份验证模式,Wi-Fi 保护设置 (WPS),已知易受攻击,应在所有无线网络上禁用。当启用这种身份验证模式(通常默认情况下)时,通常可以在几个小时内枚举关联的 PIN。

预共享密钥

PSK 身份验证是家庭网络中使用的类型,容易受到离线暴力攻击。如果攻击者可以捕获 WPA/WPA2 握手,他们可以使用蛮力和字典攻击(就像您可能使用哈希一样),本质上是遍历大量可能的值,直到找到匹配项。幸运的是,生成 WPA 握手相当慢,这使得攻击者更难做到这一点,但是一旦握手被捕获,他们就不必留在附近,因此可能会离开几个月以离线破解它(如果他们是非常坚定)!

针对这些 PSK 攻击的潜在对策包括:

  • 足够强的密钥,长而复杂,并且不基于字典单词或常用短语(理想情况下是随机的),因此需要很长时间才能破解。

  • 定期更改的密钥,这样攻击者不太可能在它更改之前破解它。

  • 不要使用默认的 SSID。更改无线网络的“名称”将阻止彩虹表的使用。已经为许多常见的 SSID 编译了彩虹表,这些可以显着减少破解 PSK 所需的时间。

WPA2-家庭企业

如果您真的有安全意识,那么完全可以在家庭环境中设置 WPA2-Enterprise,尽管您需要配置 RADIUS 服务器并使用支持它的路由器 - 所以这是一个复杂得多的过程。例子

上述建议仅与降低 WPA2 被具体破解的可能性有关。在任何无线网络中,都需要考虑一系列其他因素,例如更改路由器的配置用户名和密码,以及是否应监控设备列表或使用 MAC 地址过滤。

简短的回答是:使用 WPA2。WPA 在某种程度上是可以容忍的,但 WPA2 确实应该是首选。不要使用 WEP,这并不比没有好(可以说,WEP 总比没有好,因为它给用户的印象是安全正在发生,而事实并非如此)。

更重要的是,一定要使用强密码(意思是:非常随机)并尽量避免像(比如)“homewifi”这样的“常见 SSID”(有些人已经为一些常见的 SSID 值编译了预先计算的密码散列大表;你可以在这种情况下仍然可以通过使用更随机的密码来击败攻击者,但使用不常见的 SSID 会提高您的机会)。请注意,普通用户只需输入一次 WiFi 密码;之后,密码将存储在他们的计算机或移动设备的内脏中;因此,为您的 WiFi 网络设置一个长而粗的、随机的、不可记忆的密码并没有真正的问题。

隐藏的 SSID 不会提高安全性(尽管有些人相信他们会这样做)。使用非隐藏 SSID,用户甚至不必输入一次,因此可以使用随机选择的 SSID 而不会产生不良影响;在上面表达的意义上,随机选择的 SSID 可能是“不常见的”。

(在上述所有内容中,“随机”是指“用硬币/骰子/计算机生成,而不是用你的人类大脑,后者完全无法产生非可悲质量的随机性。)

我不知道有任何正在进行的制作更新、改进的 WPA3 的计划。WPA2 在 WiFi 设计的限制范围内已经相当强大——特别是,WPA2 是关于保护网络免受外来者的影响,但这并不意味着定期连接的用户不能互相监视。如果您想更进一步,您将不得不添加另一层,例如在用户机器和网关之间强制使用 IPsec。

其它你可能感兴趣的问题
上一篇为什么移动应用程序有细粒度的权限,而桌面应用程序没有? 下一篇为什么 SMS OTP 不如 Microsoft Authenticator 等身份验证器应用程序安全?