Cảnh báo Mạng Wi-Fi WPA2 được mã hóa vẫn dễ bị rình mò
Đến bây giờ, hầu hết mọi người đều biết rằng mạng Wi-Fi mở cho phép mọi người nghe lén lưu lượng truy cập của bạn. Mã hóa WPA2-PSK tiêu chuẩn được cho là để ngăn chặn điều này xảy ra - nhưng nó không hoàn hảo như bạn nghĩ.
Đây không phải là tin tức lớn về lỗ hổng bảo mật mới. Thay vào đó, đây là cách WPA2-PSK luôn được triển khai. Nhưng đó là điều mà hầu hết mọi người không biết.
Mạng Wi-Fi mở so với mạng Wi-Fi được mã hóa
Bạn không nên lưu trữ mạng Wi-Fi mở tại nhà, nhưng bạn có thể thấy mình sử dụng mạng công cộng - ví dụ: tại quán cà phê, khi đi qua sân bay hoặc trong khách sạn. Các mạng Wi-Fi mở không có mã hóa, điều đó có nghĩa là mọi thứ được gửi qua mạng đều rõ ràng. Mọi người có thể theo dõi hoạt động duyệt web của bạn và mọi hoạt động web không được bảo mật bằng mã hóa đều có thể được theo dõi. Có, điều này thậm chí còn đúng nếu bạn phải đăng nhập vào Nhật ký bằng tên người dùng và mật khẩu trên trang web sau khi đăng nhập vào mạng Wi-Fi đang mở.
Mã hóa - như mã hóa WPA2-PSK, chúng tôi khuyên bạn nên sử dụng tại nhà - khắc phục phần nào điều này. Ai đó ở gần không thể chỉ đơn giản là nắm bắt lưu lượng truy cập của bạn và rình mò bạn. Họ sẽ nhận được một loạt lưu lượng được mã hóa. Điều này có nghĩa là mạng Wi-Fi được mã hóa bảo vệ lưu lượng truy cập cá nhân của bạn khỏi bị rình mò.
Điều này đúng - nhưng có một điểm yếu lớn ở đây.
WPA2-PSK Sử dụng Khóa chung
Vấn đề với WPA2-PSK là nó sử dụng Khóa được chia sẻ trước của LỊCH. Khóa này là mật khẩu hoặc cụm mật khẩu, bạn phải nhập để kết nối với mạng Wi-Fi. Mọi người kết nối đều sử dụng cùng một mật khẩu.
Thật dễ dàng để ai đó theo dõi lưu lượng được mã hóa này. Tất cả những gì họ cần là:
- Cụm mật khẩu: Mọi người có quyền kết nối với mạng Wi-Fi sẽ có điều này.
- Lưu lượng truy cập liên kết cho một khách hàng mới: Nếu ai đó đang bắt các gói được gửi giữa bộ định tuyến và thiết bị khi kết nối, họ có mọi thứ họ cần để giải mã lưu lượng (tất nhiên giả sử họ cũng có cụm mật khẩu). Việc nhận được lưu lượng truy cập này thông qua các cuộc tấn công của D dhhhh là không quan trọng, buộc phải ngắt kết nối thiết bị khỏi mạng Wi_Fi và buộc nó kết nối lại, khiến quá trình liên kết xảy ra lần nữa.
Thực sự, chúng ta không thể nhấn mạnh việc này đơn giản như thế nào. Wireshark có tùy chọn tích hợp để tự động giải mã lưu lượng WPA2-PSK miễn là bạn có khóa chia sẻ trước và đã chiếm được lưu lượng cho quy trình kết hợp.
Điều này thực sự có nghĩa là gì
Điều này thực sự có nghĩa là WPA2-PSK không an toàn hơn nhiều khi nghe lén nếu bạn không tin tưởng tất cả mọi người trên mạng. Ở nhà, bạn nên an toàn vì mật khẩu Wi-Fi của bạn là một bí mật.
Tuy nhiên, nếu bạn đi ra quán cà phê và họ sử dụng WPA2-PSK thay vì mạng Wi-FI mở, bạn có thể cảm thấy an toàn hơn nhiều trong quyền riêng tư của mình. Nhưng bạn không nên - bất kỳ ai có mật khẩu Wi-Fi của quán cà phê đều có thể theo dõi lưu lượng truy cập duyệt web của bạn. Những người khác trên mạng hoặc chỉ những người khác có cụm mật khẩu có thể theo dõi lưu lượng truy cập của bạn nếu họ muốn.
Hãy chắc chắn để đưa điều này vào tài khoản. WPA2-PSK ngăn mọi người không truy cập vào mạng để rình mò. Tuy nhiên, một khi họ có mật khẩu của mạng, tất cả các cược đã tắt.
Tại sao WPA2-PSK không cố gắng ngăn chặn điều này?
WPA2-PSK thực sự đã cố gắng ngăn chặn điều này thông qua việc sử dụng một khóa tạm thời theo cặp đôi (PTK). Mỗi máy khách không dây có một PTK duy nhất. Tuy nhiên, điều này không giúp được gì nhiều vì khóa mỗi khách hàng duy nhất luôn được lấy từ khóa chia sẻ trước (cụm mật khẩu Wi-Fi.) Đó là lý do tại sao việc nắm bắt khóa duy nhất của khách hàng miễn là bạn có Wi- Cụm mật khẩu Fi và có thể nắm bắt lưu lượng được gửi qua quy trình kết hợp.
WPA2-Enterprise giải quyết vấn đề này cho các mạng lớn
Đối với các tổ chức lớn yêu cầu mạng Wi-Fi an toàn, có thể tránh được điểm yếu bảo mật này thông qua việc sử dụng quyền tự động EAP với máy chủ RADIUS - đôi khi được gọi là WPA2-Enterprise. Với hệ thống này, mỗi ứng dụng khách Wi-Fi nhận được một khóa thực sự độc đáo. Không có ứng dụng khách Wi-Fi nào có đủ thông tin để bắt đầu rình mò trên một máy khách khác, vì vậy điều này mang lại sự bảo mật cao hơn nhiều. Các văn phòng công ty lớn hoặc các cơ quan chính phủ nên sử dụng WPA2-Entepawn vì lý do này.
Nhưng điều này quá phức tạp và phức tạp đối với đại đa số mọi người - hoặc thậm chí là hầu hết các chuyên viên máy tính - sử dụng tại nhà. Thay vì cụm mật khẩu Wi-FI bạn phải nhập trên các thiết bị bạn muốn kết nối, bạn phải quản lý máy chủ RADIUS xử lý xác thực và quản lý khóa. Điều này phức tạp hơn nhiều đối với người dùng gia đình để thiết lập.
Trên thực tế, nó thậm chí không đáng để bạn dành thời gian nếu bạn tin tưởng tất cả mọi người trên mạng Wi-Fi của mình hoặc mọi người có quyền truy cập vào cụm mật khẩu Wi-Fi của bạn. Điều này chỉ cần thiết nếu bạn kết nối với mạng Wi-Fi được mã hóa WPA2-PSK ở một địa điểm công cộng - quán cà phê, sân bay, khách sạn hoặc thậm chí là một văn phòng lớn hơn - nơi những người khác mà bạn không tin tưởng cũng có Wi- Cụm mật khẩu của mạng FI.
Vì vậy, là bầu trời sụp đổ? Tất nhiên là không rồi. Nhưng, hãy ghi nhớ điều này: Khi bạn kết nối với mạng WPA2-PSK, những người khác có quyền truy cập vào mạng đó có thể dễ dàng theo dõi lưu lượng truy cập của bạn. Mặc dù hầu hết mọi người có thể tin, nhưng mã hóa không cung cấp sự bảo vệ chống lại người khác có quyền truy cập vào mạng.
Nếu bạn phải truy cập các trang web nhạy cảm trên mạng Wi-Fi công cộng - đặc biệt là các trang web không sử dụng mã hóa HTTPS - hãy cân nhắc thực hiện thông qua VPN hoặc thậm chí là một đường hầm SSH. Mã hóa WPA2-PSK trên các mạng công cộng không đủ tốt.
Tín dụng hình ảnh: Cory Doctorow trên Flickr, Nhóm thực phẩm trên Flickr, Robert Couse-Baker trên Flickr