Thiết lập được bảo vệ Wi-FI (WPS) không an toàn Tại sao bạn nên vô hiệu hóa nó
WPA2 với mật khẩu mạnh được bảo mật miễn là bạn tắt WPS. Bạn sẽ tìm thấy lời khuyên này trong các hướng dẫn để bảo vệ Wi-Fi của bạn trên tất cả các trang web. Thiết lập bảo vệ Wi-Fi là một ý tưởng hay, nhưng sử dụng nó là một sai lầm.
Bộ định tuyến của bạn có thể hỗ trợ WPS và nó có thể được bật theo mặc định. Giống như UPnP, đây là một tính năng không an toàn khiến mạng không dây của bạn dễ bị tấn công hơn.
Thiết lập bảo vệ Wi-Fi là gì?
Hầu hết người dùng gia đình nên sử dụng WPA2-Personal, còn được gọi là WPA2-PSK. Thẻ chữ cái PSK là viết tắt của khóa được chia sẻ trước. Bạn đã thiết lập một cụm mật khẩu không dây trên bộ định tuyến của mình và sau đó cung cấp cùng một cụm mật khẩu đó trên mỗi thiết bị bạn kết nối với mạng WI-Fi. Điều này về cơ bản cung cấp cho bạn mật khẩu bảo vệ mạng Wi-FI của bạn khỏi bị truy cập trái phép. Bộ định tuyến lấy khóa mã hóa từ cụm mật khẩu của bạn, mã này sử dụng để mã hóa lưu lượng truy cập mạng không dây của bạn để đảm bảo mọi người không có khóa không thể nghe lén.
Điều này có thể hơi bất tiện, vì bạn phải nhập cụm mật khẩu của mình trên mỗi thiết bị mới mà bạn kết nối. Thiết lập bảo vệ Wi-FI (WPS), đã được tạo để giải quyết vấn đề này. Khi bạn kết nối với bộ định tuyến có bật WPS, bạn sẽ thấy một thông báo cho biết bạn có thể sử dụng một cách dễ dàng hơn để kết nối thay vì nhập cụm mật khẩu Wi-Fi của mình.
Tại sao thiết lập bảo vệ Wi-Fi không an toàn
Có một số cách khác nhau để thực hiện thiết lập được bảo vệ Wi-Fi:
GHIM: Bộ định tuyến có mã PIN tám chữ số mà bạn cần nhập trên thiết bị của mình để kết nối. Thay vì kiểm tra toàn bộ mã PIN tám chữ số cùng một lúc, bộ định tuyến sẽ kiểm tra bốn chữ số đầu tiên tách biệt với bốn chữ số cuối. Điều này làm cho mã PIN WPS trở nên rất dễ dàng đối với người dùng vũ lực, bằng cách đoán các kết hợp khác nhau. Chỉ có 11.000 mã bốn chữ số có thể, và một khi phần mềm vũ phu có được bốn chữ số đầu tiên, kẻ tấn công có thể chuyển sang phần còn lại của các chữ số. Nhiều bộ định tuyến người tiêu dùng không hết thời gian sau khi mã PIN WPS sai được cung cấp, cho phép kẻ tấn công đoán đi đoán lại. Mã PIN WPS có thể bị ép buộc trong khoảng một ngày. [Nguồn] Bất cứ ai cũng có thể sử dụng phần mềm có tên làiên Reaver 'để bẻ khóa mã PIN WPS.
Nút nhấn-Kết nối: Thay vì nhập mã PIN hoặc cụm mật khẩu, bạn chỉ cần nhấn nút vật lý trên bộ định tuyến sau khi thử kết nối. (Nút này cũng có thể là nút phần mềm trên màn hình thiết lập.) Điều này an toàn hơn, vì các thiết bị chỉ có thể kết nối với phương thức này trong vài phút sau khi nhấn nút hoặc sau khi một thiết bị duy nhất kết nối. Nó sẽ không hoạt động và có sẵn để khai thác mọi lúc, như mã PIN WPS. Kết nối bằng nút bấm dường như rất an toàn, với lỗ hổng duy nhất là bất kỳ ai có quyền truy cập vật lý vào bộ định tuyến đều có thể nhấn nút và kết nối, ngay cả khi họ không biết cụm mật khẩu Wi-Fi.
PIN là bắt buộc
Mặc dù kết nối bằng nút bấm được cho là an toàn, nhưng phương thức xác thực mã PIN là phương pháp cơ bản bắt buộc mà tất cả các thiết bị WPS được chứng nhận phải hỗ trợ. Điều đó đúng - đặc tả WPS bắt buộc các thiết bị phải thực hiện phương thức xác thực không an toàn nhất.
Các nhà sản xuất bộ định tuyến không thể khắc phục sự cố bảo mật này vì thông số kỹ thuật WPS yêu cầu phương pháp kiểm tra mã PIN không an toàn. Bất kỳ thiết bị nào triển khai Cài đặt được bảo vệ Wi-FI tuân thủ thông số kỹ thuật sẽ dễ bị tổn thương. Bản thân thông số kỹ thuật là không tốt.
Bạn có thể vô hiệu hóa WPS?
Có một số loại bộ định tuyến khác nhau ngoài kia.
- Một số bộ định tuyến không cho phép bạn tắt WPS, không cung cấp tùy chọn nào trong giao diện cấu hình của chúng để làm như vậy.
- Một số bộ định tuyến cung cấp tùy chọn để vô hiệu hóa WPS, nhưng tùy chọn này không làm gì cả và WPS vẫn được bật mà bạn không biết. Vào năm 2012, lỗ hổng này đã được tìm thấy trên các điểm truy cập không dây của Linksys và Cisco Valet đã được thử nghiệm. [[Nguồn]
- Một số bộ định tuyến sẽ cho phép bạn vô hiệu hóa hoặc kích hoạt WPS, không cung cấp lựa chọn phương thức xác thực.
- Một số bộ định tuyến sẽ cho phép bạn tắt xác thực WPS dựa trên mã PIN trong khi vẫn sử dụng xác thực bằng nút nhấn.
- Một số bộ định tuyến không hỗ trợ WPS. Đây có lẽ là an toàn nhất.
Cách vô hiệu hóa WPS
Nếu bộ định tuyến của bạn cho phép bạn tắt WPS, bạn có thể sẽ tìm thấy tùy chọn này trong Cài đặt được bảo vệ Wi-FI hoặc WPS trong giao diện cấu hình dựa trên web của nó.
Ít nhất bạn nên vô hiệu hóa tùy chọn xác thực dựa trên mã PIN. Trên nhiều thiết bị, bạn sẽ chỉ có thể chọn bật hoặc tắt WPS. Chọn tắt WPS nếu đó là lựa chọn duy nhất bạn có thể thực hiện.
Chúng tôi sẽ hơi lo lắng về việc bật WPS, ngay cả khi tùy chọn mã PIN dường như bị tắt. Với kỷ lục khủng khiếp của các nhà sản xuất bộ định tuyến khi nói đến WPS và các tính năng không an toàn khác như UPnP, không thể một số triển khai WPS sẽ tiếp tục cung cấp xác thực dựa trên mã PIN ngay cả khi nó bị vô hiệu hóa?
Chắc chắn, về mặt lý thuyết bạn có thể an toàn với WPS được kích hoạt miễn là xác thực dựa trên mã PIN đã bị vô hiệu hóa, nhưng tại sao phải mạo hiểm? Tất cả các WPS thực sự làm là cho phép bạn kết nối với Wi-Fi dễ dàng hơn. Nếu bạn tạo một cụm mật khẩu bạn có thể dễ dàng nhớ, bạn sẽ có thể kết nối nhanh như vậy. Và đây chỉ là sự cố lần đầu tiên - một khi bạn đã kết nối thiết bị một lần, bạn không cần phải thực hiện lại. WPS rất rủi ro cho một tính năng mang lại lợi ích nhỏ như vậy.
Tín dụng hình ảnh: Jeff Keyzer trên Flickr