Il n'est probablement pas nécessaire de répéter que la sécurité WEP pour le Wi-Fi a depuis longtemps été ouverte plus largement que Humpty Dumpty lors d'un tremblement de terre, ni que WPA est aussi sûr que la majorité d'un député Lib Dem. Et pourtant, un récent sondage réalisé par la société d'hébergement Web UK2 en collaboration avec YouGov révèle que le public britannique, si on le lui demande, est-ce que votre connexion Wi-Fi est cryptée ? répondra généralement pas bovvered.
como se cita en discordia
Parmi les personnes interrogées, 56% ne vérifient jamais ou rarement si un hotspot est crypté avant de s'y connecter. Ces mêmes personnes sont beaucoup plus susceptibles de sécuriser leur Wi-Fi domestique, il ne s'agit donc pas seulement d'un échec de sensibilisation, mais plutôt d'un excès de confiance. Faites confiance, c'est-à-dire à l'hôtel, au café ou au pub qui propose une connexion Wi-Fi gratuite – et au prestataire de services.
Pour accéder à votre réseau sans fil soi-disant sécurisé, il n'a pas besoin d'un accès physique à votre routeur, ordinateur ou quoi que ce soit d'autre.
Une telle confiance est souvent mal placée, c'est là que réside le risque potentiel pour la sécurité, et ce qui me rapproche bien de l'histoire réelle qui a attiré mon attention, à savoir que le protocole Wi-Fi Protected Setup (WPS) a été bel et bien compromis. WPS est ce bouton sur lequel vous avez probablement appuyé pour sécuriser votre routeur sans fil lorsque vous le configuriez pour votre réseau domestique ou de petite entreprise, celui qui a supprimé toute la configuration manuelle de la sécurité et rendu la configuration de la sécurité sans fil à la fois simple et rapide. Ou alors vous pensiez.
La vérité est moins encourageante, car WPS est vulnérable aux attaques, mais pas le gros bouton rouge. Il y a un autre aspect du WPS qui ne se fait pas en appuyant sur un bouton mais via un code PIN à huit chiffres à saisir, et c'est cette version PIN du protocole WPS qui s'est avérée beaucoup moins sécurisée que tout le monde ne le pensait. Il s'avère que pour déchiffrer ce cryptage via une attaque par force brute standard, le pirate informatique n'a pas besoin de découvrir les huit chiffres, ce qui nécessiterait beaucoup de temps et de puissance de calcul. Au lieu de cela, ils doivent déchiffrer uniquement les quatre premiers chiffres du code PIN.
aplicación cbs all access para samsung smart tv
Oui, vous avez bien lu : ce code PIN d'apparence sécurisée n'est pas si sûr que ça. Bien sûr, les cartes bancaires utilisent un code PIN à quatre chiffres et les banques et leurs clients semblent assez heureux de leur faire confiance lorsqu'ils utilisent des cartes dans un distributeur de billets, mais il y a une grande différence entre ces deux instances d'authentification apparemment identiques.
Pour retirer votre argent d'un guichet automatique, tout méchant potentiel doit être en possession de votre carte physique et être en mesure de deviner ou d'obtenir son code PIN. D'un autre côté, pour accéder à votre réseau sans fil prétendument sécurisé, il n'a pas besoin d'un accès physique à votre routeur, ordinateur ou quoi que ce soit d'autre - il peut simplement configurer son propre PC pour essayer toutes les combinaisons possibles. (Il y a une durée utile pour cracker mon calculateur de mot de passe au Site de sécurité de Steve Gibson GRC : maths boffins soulignera ses lacunes, mais c'est assez bon pour les estimations de back-of-a-fag-packet.)
Les chercheurs en sécurité ont publié un outil appelé Reaver qui peut exploiter cette faille et permet à quiconque de déchiffrer le code PIN WPS plus simple et d'accéder à la version en texte clair de la clé pré-partagée WPA2 (PSK) du routeur, qui est ensuite révélée. Le code PIN complet aurait plus de dix millions de combinaisons, mais le code PIN à chiffres réduits n'en compte que 11 000 environ. N'oubliez pas que la complexité du PSK se trouvant derrière votre code PIN n'a pas d'importance - en utilisant la méthode PIN WPS, vous avez protégé votre réseau Wi-Fi en utilisant ce qui n'est en fait que quatre chiffres.
Une recherche Google de didacticiels de piratage PSK démontrera que même sans cette vulnérabilité WPS PIN, il est tout à fait possible de trouver un WPA2-PSK par force brute, mais cela prendrait beaucoup plus de temps et un pirate potentiel aurait besoin d'une très bonne raison pour investir du temps et les ressources nécessaires. Réduisez suffisamment ce temps et ces ressources nécessaires et soudainement, votre routeur et votre réseau Wi-Fi deviennent des cibles plus attrayantes pour un piratage occasionnel.
Ce n'est pas que de mauvaises nouvelles : vous pouvez simplement désactiver la fonction WPS sur votre routeur pour supprimer le code PIN que des gens comme Reaver rechercheront. Je crois, mais au moment de la rédaction de cet article, aucun détail ne vient étayer cette conviction, qu'un certain nombre de fabricants de routeurs ont publié ou travaillent sur des mises à jour du micrologiciel pour fermer la vulnérabilité, on suppose en désactivant le code PIN (que tous les routeurs ne avoir une option de configuration utilisateur pour).
Mieux encore, recommencez et configurez votre réseau Wi-Fi à l'aide d'un PSK long et complexe pour rendre les attaques par force brute impraticables : pensez en termes de 32 caractères ou plus, avec le mélange habituel de lettres, de chiffres et de caractères spéciaux. En utilisant cette calculatrice Haystack que j'ai mentionnée ci-dessus, vous verrez qu'un simple code PIN à quatre chiffres ne prend que quelques secondes à déchiffrer, mais un mot de passe complexe de 32 caractères prendrait 6,22 mille milliards de milliards de milliards de milliards de siècles - même dans le pire des cas d'un un réseau de craquage massif utilisé pour effectuer cent mille milliards de suppositions chaque seconde !
instalar google play en fire stick
WPA2-PSK, l'implémentation de clé pré-partagée adorée par le stéréotypé dangereux homme de petite entreprise, a été craquée il y a quelques années, et WPA2 avec TKIP n'est pas non plus une option sécurisée, ce qui rend le Wi-Fi - pour beaucoup de gens - assez simplement peu sûr. WPA2 avec AES est correct, tout comme WPA2-Enterprise avec un serveur d'authentification RADIUS ou même WPA2-PSK avec une clé de 32 caractères. Étant donné que WPA2-PSK prend en charge les clés jusqu'à 63 caractères et que la plupart des appareils sans fil mettent en cache cette clé pour toujours afin qu'elle n'ait besoin d'être saisie qu'une seule fois, il n'est pas si difficile de déterminer ce que vous devez faire - mais les mots de passe longs sont toujours tous trop souvent considérée comme inutile et trop complexe. Soupir…
