słabe hasłoedytuj
wstępnie udostępnione klucze WPA i WPA2 pozostają podatne na ataki łamania haseł, jeśli użytkownicy polegają na słabym Hasle lub frazie. Hashe haseł WPA są rozdzielane od nazwy SSID i jego długości; tęczowe tabele istnieją dla 1000 najlepszych sieciowych identyfikatorów SSID i wielu popularnych haseł, wymagających tylko szybkiego wyszukiwania, aby przyspieszyć łamanie WPA-PSK.
brutalne wymuszanie prostych haseł można próbować za pomocą pakietu Aircrack, zaczynając od czterodrożnego uwierzytelniania wymienianego podczas asocjacji lub okresowego ponownego uwierzytelniania.
WPA3 zastępuje protokoły kryptograficzne podatne na analizę off-line protokołami, które wymagają interakcji z infrastrukturą dla każdego odgadniętego hasła, przypuszczalnie nakładając czasowe ograniczenia na liczbę domysłów. Jednak wady projektowe w WPA3 umożliwiają atakującym wiarygodne uruchamianie ataków brute-force (zobacz atak Dragonblood).
brak forward secrecyEdit
WPA i WPA2 nie zapewniają tajności forward, co oznacza, że gdy przeciwna osoba odkryje wstępnie udostępniony klucz, może potencjalnie odszyfrować wszystkie pakiety zaszyfrowane za pomocą tego PSK transmitowanego w przyszłości, a nawet w przeszłości, które mogą być pasywnie i cicho zbierane przez atakującego. Oznacza to również, że atakujący może po cichu przechwycić i odszyfrować Pakiety innych osób, jeśli punkt dostępu chroniony WPA jest udostępniany bezpłatnie w miejscu publicznym, ponieważ jego hasło jest zwykle udostępniane komukolwiek w tym miejscu. Innymi słowy, WPA chroni tylko przed atakującymi, którzy nie mają dostępu do hasła. Z tego powodu bezpieczniej jest używać Transport Layer Security (TLS) lub podobnych zabezpieczeń do przesyłania poufnych danych. Jednak począwszy od WPA3, problem ten został rozwiązany.
fałszowanie i deszyfrowanie pakietów wpaedit
Mathy Vanhoef i Frank Piessens znacznie poprawili ataki WPA-TKIP Erika Tewsa i Martina Becka. Zademonstrowali, jak wstrzyknąć dowolną liczbę pakietów, przy czym każdy pakiet zawiera co najwyżej 112 bajtów ładunku. Zostało to zademonstrowane przez implementację skanera portów, który może być wykonany przeciwko każdemu klientowi korzystającemu z WPA-TKIP. Dodatkowo pokazali jak odszyfrować dowolne pakiety wysyłane do klienta. Wspomnieli, że może to być użyte do przejęcia połączenia TCP, umożliwiając atakującemu wstrzyknięcie złośliwego JavaScript, gdy ofiara odwiedza website.In dla kontrastu, atak Beck-Tews mógł odszyfrować tylko krótkie pakiety z najczęściej znaną zawartością, takie jak wiadomości ARP, i pozwalał na wstrzyknięcie tylko 3 do 7 pakietów o maksymalnie 28 bajtach. Atak Beck-Tews wymaga również jakości usług (zgodnie z definicją zawartą w 802.11E) należy włączyć, podczas gdy atak Vanhoef-Piessens nie. Żaden atak nie prowadzi do odzyskania klucza sesji współdzielonej między Klientem a punktem dostępowym. Autorzy twierdzą, że użycie krótkiego interwału rekeying może zapobiec niektórym atakom, ale nie wszystkim, i zdecydowanie zalecają przejście z TKIP na CCMP oparte na AES.
Halvorsen i inni pokazują, jak zmodyfikować atak Beck-Tews, aby umożliwić wstrzyknięcie 3 do 7 pakietów o rozmiarze co najwyżej 596 bajtów. Minusem jest to, że ich atak wymaga znacznie więcej czasu na wykonanie: około 18 minut i 25 sekund. W innych pracach Vanhoef i Piessens wykazali, że gdy WPA jest używany do szyfrowania pakietów rozgłoszeniowych, ich pierwotny atak może być również wykonywany. Jest to ważne rozszerzenie, ponieważ znacznie więcej sieci używa WPA do ochrony pakietów rozgłoszeniowych niż do ochrony pakietów unicast. Czas wykonania tego ataku wynosi średnio około 7 minut, w porównaniu do 14 minut pierwotnego ataku Vanhoef-Piessens i Beck-Tews.
luki TKIP są znaczące, ponieważ WPA-TKIP uznano za wyjątkowo bezpieczną kombinację; rzeczywiście, WPA-TKIP jest nadal opcją konfiguracji dla szerokiej gamy bezprzewodowych urządzeń routingowych dostarczanych przez wielu dostawców sprzętu. Badanie przeprowadzone w 2013 r.wykazało, że 71% nadal zezwala na korzystanie z TKIP, a 19% popiera wyłącznie TKIP.
WPS PIN recoveryEdit
w grudniu 2011 roku Stefan Viehböck ujawnił poważniejszą lukę bezpieczeństwa, która dotyczy routerów bezprzewodowych z funkcją Wi-Fi Protected Setup (WPS), niezależnie od używanej metody szyfrowania. Najnowsze modele mają tę funkcję i domyślnie ją włączają. Wielu producentów konsumenckich urządzeń Wi-Fi podjęło kroki w celu wyeliminowania potencjału słabych haseł poprzez promowanie alternatywnych metod automatycznego generowania i dystrybucji silnych kluczy, gdy użytkownicy dodają nowy adapter lub urządzenie bezprzewodowe do sieci. Metody te obejmują naciskanie przycisków na urządzeniach lub wprowadzanie 8-cyfrowego kodu PIN.
Wi-Fi Alliance ustandaryzował te metody jako konfigurację chronioną przez Wi-Fi; jednak szeroko zaimplementowana funkcja PIN wprowadziła poważną nową lukę bezpieczeństwa. Wada pozwala zdalnemu atakującemu odzyskać kod PIN WPS, a wraz z nim hasło WPA/WPA2 routera w ciągu kilku godzin. Użytkownicy zostali wezwani do wyłączenia funkcji WPS, chociaż może to nie być możliwe w niektórych modelach routerów. Ponadto kod PIN jest zapisany na etykiecie na większości routerów Wi-Fi z WPS i nie można go zmienić w przypadku naruszenia.
WPA3 wprowadza nową alternatywę dla konfiguracji urządzeń, które nie mają wystarczających możliwości interfejsu użytkownika, pozwalając pobliskim urządzeniom służyć jako odpowiedni interfejs użytkownika do celów udostępniania sieci, zmniejszając w ten sposób zapotrzebowanie na WPS.
MS-CHAPv2 i brak walidacji CN serwera AAA
w MS-CHAPv2 stwierdzono kilka słabych punktów, z których niektóre znacznie zmniejszają złożoność ataków brute-force, czyniąc je wykonalnymi przy użyciu nowoczesnego sprzętu. W 2012 roku złożoność łamania MS-CHAPv2 została zredukowana do łamania pojedynczego klucza DES, autorstwa Moxie Marlinspike i Marsh Raya. Moxie zaleca: „przedsiębiorstwa, które są zależne od wzajemnych właściwości uwierzytelniania MS-CHAPv2 dla połączenia z serwerami WPA2 Radius, powinny natychmiast rozpocząć migrację do czegoś innego.”
tunelowane metody EAP wykorzystujące TTLS lub PEAP szyfrujące wymianę MSCHAPv2 są szeroko stosowane w celu ochrony przed wykorzystywaniem tej luki. Jednak rozpowszechnione implementacje klientów WPA2 na początku 2000 były podatne na błędną konfigurację przez użytkowników końcowych, lub w niektórych przypadkach (np. Android), brakowało jakiegokolwiek dostępnego dla użytkownika sposobu na prawidłowe skonfigurowanie walidacji certyfikatu serwera AAA CNs. Zwiększyło to znaczenie pierwotnej słabości MSCHAPv2 w scenariuszach ataków MiTM. Zgodnie z bardziej rygorystycznymi testami zgodności WPA2 ogłoszonymi wraz z WPA3, certyfikowane oprogramowanie klienckie będzie wymagane do zgodności z niektórymi zachowaniami związanymi z walidacją certyfikatu AAA.
Hole196Edit
Hole196 jest luką w protokole WPA2, która nadużywa klucza czasowego współdzielonej grupy (GTK). Może być używany do przeprowadzania ataków typu man-in-the-middle i denial-of-service. Zakłada jednak, że atakujący jest już uwierzytelniony przeciwko Access Point, a tym samym jest w posiadaniu GTK.
przewidywalny klucz czasowy grupy (GTK)Edit
w 2016 roku wykazano, że standardy WPA i WPA2 zawierają niepewny generator liczb losowych (RNG). Naukowcy wykazali, że jeśli dostawcy implementują proponowany RNG, atakujący jest w stanie przewidzieć klucz grupy (GTK), który ma być losowo generowany przez punkt dostępu (AP). Dodatkowo wykazali, że posiadanie GTK umożliwia atakującemu wstrzyknięcie dowolnego ruchu do sieci i umożliwiło atakującemu odszyfrowanie ruchu internetowego w systemie unicast przesyłanego przez sieć bezprzewodową. Zademonstrowali swój atak na router Asus RT-AC51U, który używa zewnętrznych sterowników MediaTek, które same generują GTK, i pokazali, że GTK można odzyskać w ciągu dwóch minut lub mniej. Podobnie, wykazali klucze generowane przez demony dostępu Broadcom działające na VxWorks 5 i nowszych można odzyskać w cztery minuty lub mniej, co dotyczy na przykład niektórych wersji Linksys WRT54G i niektórych modeli Apple AirPort Extreme. Dostawcy mogą bronić się przed tym atakiem za pomocą bezpiecznego RNG. W ten sposób Hostapd działający na jądrach Linuksa nie jest podatny na ten atak, a zatem routery z typowymi instalacjami OpenWrt lub LEDE nie wykazują tego problemu.
atak na KRACKEDYTUJ
w październiku 2017 Opublikowano szczegóły ataku KRACK (Key Reinstalation Attack) NA WPA2. Uważa się, że atak KRACKA ma wpływ na wszystkie warianty WPA i WPA2; jednak implikacje bezpieczeństwa różnią się między implementacjami, w zależności od tego, jak poszczególni Programiści zinterpretowali źle określoną część standardu. Poprawki oprogramowania mogą rozwiązać tę lukę, ale nie są dostępne dla wszystkich urządzeń.
Dragonblood attackEdit
w kwietniu 2019 r.znaleziono poważne wady projektowe WPA3, które pozwalają atakującym na przeprowadzanie ataków typu downgrade i side-channel, umożliwiając brutalne wymuszanie hasła, a także uruchamianie ataków typu denial-of-service na stacje bazowe Wi-Fi.