Насколько безопасно использовать хэш пароля обычного английского слова в качестве ключа WPA2?

947
James Mishra

У меня есть беспроводной маршрутизатор, и я хочу сложный пароль, который, в некотором смысле, легко запомнить.

Мне пришла в голову идея взять MD5, SHA-1, SHA-256 или любой другой хэш обычного английского слова, такого как «superuser», и использовать этот хэш в качестве ключа WPA2.

Например, скажем, что «суперпользователь» был моим словом выбора. Если бы я выбрал SHA-1, у меня есть хэш, я бы тогда настроил свой ключ WPA2 8e67bb26b358e2ed20fe552ed6fb832f397a507d.

Это безопасная практика? Общие английские слова используются - в некотором роде - в ключе, но сам ключ на самом деле является длинной, сложной шестнадцатеричной строкой.

4
Не безопасно сейчас, когда вы упомянули об этом :) RCIX 14 лет назад 1

4 ответа на вопрос

3
Robert Cartaino

Если вы не раскрываете метод того, как вы сгенерировали свой «длинный ключ WPA2» (который вы только что сделали), это просто случайная строка текста, которая обычно была бы довольно безопасной. С другой стороны, если кто-то знает, что вы используете «обычное английское слово» и используете хеш этого слова в качестве ключа, любой может быстро сгенерировать последовательность хешей из словаря и довольно быстро взломать ваш пароль.

Если вы ищете «сложный пароль, который все еще легко запомнить», почему бы вам не придумать более длинную парольную фразу, которая что-то значит для вас, но не легко угадывается кем-то еще. Начните с фразы (то есть последовательности слов, предложения и т. Д.), Смешайте в последовательности цифр, которые что-то значат для вас (кроме дней рождения, телефонных номеров и т. Д.), И сгенерируйте длинный ключ, который «легко запомнить», который путь.

Я с Уиллом и Робертом в этом. Фраза * фразы *, как правило, более безопасна, чем фраза * слова * - только длина делает угадывание вашей фразы намного сложнее. DaveParillo 14 лет назад 0
Я в основном согласен, за исключением того, что хэш английского слова * не * случайная строка текста. Это то, что есть хэш английского слова. Другими словами: предлагаемый метод не увеличивает пространство ключа, но делает бесполезными широко распространенные радужные таблицы. Учитывая тот факт, что создать радужный стол не так просто, это хорошо. Чтобы увеличить пространство ключей, вы можете зашифровать пароль с помощью соли. Ludwig Weinzierl 14 лет назад 1
2
William Hilsum

Это так же безопасно, как и любой другой ключ, если вы никому не говорите.

В конце дня ваш ключ будет использовать 0-9, af ... который на самом деле дает только 16 возможных символов, а не просто az, что дает 26. Поэтому, если вы думаете, что вы умны и говорите кому-то " Я использую SHA-1 ", вы на самом деле сокращаете их комбинации грубой силы.

Лично я думаю, что было бы намного лучше, если бы у вас было обычное длинное слово или слова со смешанным регистром, а затем добавьте несколько случайных чисел и символов.

Да, но я бы сказал, что «добавление случайных чисел и символов» не сильно облегчает запоминание. Как насчет добавления некоторых * неслучайных * чисел ;-) DaveParillo 14 лет назад 0
Верно - но опять же, с каких это пор ключ SHA-1 легко запомнить? William Hilsum 14 лет назад 0
интересный момент ... может быть, а) соль слова, б) хэш с sha-256, и в) преобразовать результат из гекса (base-16) в base-26 (a..z) или даже base-36 (0 ..9, a..z). quack quixote 14 лет назад 0
Лично я думаю, что лучше всего использовать длинный уникальный пароль, такой как "this_is! My.password, for2the3week_of30 / 11/09" ... И менять его каждую неделю, чтобы он немного отличался ... Даст вам долю проблемы и труднее взломать! William Hilsum 14 лет назад 0
это тоже не плохой метод ... между двумя это вопрос индивидуального вкуса. Ваш пример наверняка будет легче запомнить. quack quixote 14 лет назад 0
1
Arkenklo

Это безопасно, пока никто не может понять метод. Это, конечно, включает в себя хвастовство в офисе, а также следы любого рода, которые вы можете оставить. Например, если вы хотите подключить случайного пользователя к вашей сети, вы, вероятно, будете использовать какое-то клиентское приложение для генерации хэша. Если случайный пользователь заметит, что echo "superuser" | sha1sumв журнале есть запись, добавить их вместе не сложно.

Поскольку вы должны генерировать хэш извне, большая часть удобства исчезает. Как правило, я бы сказал, что хеширование общего слова может быть приемлемым способом быстрой генерации полуслучайного ключа, но ключ все равно должен копироваться или запоминаться при вводе, чтобы не создавать слабости.

Единственное другое преимущество, которое я могу придумать, это то, что ключ / фраза / пароль могут быть легко воспроизведены в случае их утери. Если вышеуказанные меры безопасности будут приняты, я не вижу причин не использовать хешированные слова в качестве ключей.

0
OPSXCQ

Это реальный пример безопасности через безвестность . Где вы предполагаете, что вы в безопасности, или в вашем случае, что вы в большей безопасности, чем пользователи, которые просто ввели свои пароли без этого процесса.

Настоящая проблема заключается в ложном чувстве безопасности. Если вы используете слабый пароль, например 12345678, используя результат SHA1 в качестве пароля WPA2, то взломать хеш WPA2 практически невозможно. Таким образом, пользователи обычно не беспокоятся о том, что кто-нибудь сможет взломать их, но как только кто-то узнает ваш скрытый секрет, ваш хеш будет легко взломан. Если вы правильно выберете надежный пароль, вам не о чем будет беспокоиться, даже если ваш секрет будет взломан, для взлома хорошего пароля потребуется гораздо больше времени, чем того стоит ждать злоумышленнику.

Это приведет нас к вопросу, так ли плоха безопасность через неизвестность? ИМХО, да, это просто из-за ложного чувства безопасности, того же самого чувства, которое дают автоматизированные инструменты пентестов низкого качества, когда они не показывают уязвимостей после сканирования или когда антивирус говорит, что исполняемый файл чистый.

Похожие вопросы