it-swarm-id.com

Rekomendasikan Panjang untuk Wi-FI PSK?

Saat ini saya memiliki jaringan yang diatur dengan enkripsi WPA2 dan AES, kata sandinya 8 karakter tetapi dibuat secara acak dan tidak mengandung kata-kata kamus. Namun saya khawatir dengan meningkatnya daya komputer dan kemampuan mereka untuk memecahkan jabat tangan, karena itu saya sedang mempertimbangkan untuk menambah panjangnya.

Saya sadar bahwa saya bisa mencapai hingga 63 karakter jika saya sangat paranoid, tapi sayangnya saya harus mengetikkan kata sandi ini ke Android ponsel dan perangkat lain jadi saya lebih suka menyimpannya dengan cukup singkat) untuk membuatnya mudah diketik.

Apakah kata sandi acak 16 karakter cukup untuk mengamankan jaringan terenkripsi WPA2? Apa rekomendasi saat ini untuk panjang kata sandi, terutama untuk jaringan nirkabel dan panjang kata sandi apa yang cukup untuk melindungi jaringan saya terhadap serangan standar?

27
Concrete Donkey

Ya, 16 karakter lebih dari cukup , jika mereka dihasilkan secara acak menggunakan PRNG kekuatan kriptografis. Jika Anda menggunakan huruf kecil, huruf besar, dan angka, dan jika Anda membuatnya benar-benar acak, kata sandi 16-karakter memiliki entropi 95 bit. Itu lebih dari cukup. Sebenarnya, 12 karakter sudah cukup ; yang memberi Anda 71 bit entropi, yang juga lebih dari cukup untuk keamanan terhadap semua serangan yang mungkin diserang oleh penyerang untuk menyerang kata sandi Anda.

Setelah kata sandi Anda 12 karakter atau lebih, kata sandi tersebut sangat tidak mungkin menjadi tautan terlemah di sistem Anda. Karena itu, tidak ada gunanya memilih kata sandi yang lebih panjang. Saya melihat orang-orang yang merekomendasikan penggunaan kata sandi 60-karakter, tetapi saya rasa tidak ada dasar rasional untuk melakukannya. Pandangan saya adalah bahwa kegunaan sangat penting: jika Anda membuat mekanisme keamanan terlalu sulit untuk digunakan, orang-orang akan kesal dan mungkin lebih enggan menggunakannya di masa depan, yang tidak baik. Mekanisme aman yang tidak digunakan tidak ada gunanya bagi siapa pun. Itu sebabnya saya lebih suka memilih kata sandi yang lebih pendek, seperti 12 karakter atau 16 karakter, karena sangat memadai dan lebih dapat digunakan daripada binatang 60-karakter yang mengerikan.

Hati-hati dalam memilih kata sandi. Anda perlu menggunakan PRNG yang kuat secara kriptografis, seperti /dev/urandom. Sebagai contoh, berikut ini skrip sederhana yang saya gunakan di Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

Jangan mencoba memilih kata sandi sendiri. Kata sandi pilihan manusia biasanya lebih mudah ditebak daripada kata sandi yang benar-benar acak.

Satu peringatan yang sangat penting: Ada masalah lain juga, di luar panjang kata sandi. Sangat penting bagi Anda mematikan WPS , karena WPS memiliki celah keamanan utama . Juga, saya sarankan Anda menggunakan WPA2; hindari WPA-TKIP, dan jangan pernah menggunakan WEP.

24
D.W.

Pertanyaan ini telah ditanyakan berkali-kali sebelumnya, kata sandi 12 karakter yang memiliki angka, tanda, huruf kecil dan huruf besar akan membutuhkan waktu yang sangat lama untuk bruteforce. Jika kata sandi Anda tidak ada dalam kamus, maka Anda harus menggunakan serangan bruteforce. Kita dapat memperkirakan jumlah kata sandi yang dicoba:

Jika Anda memiliki 94 kemungkinan karakter (ASCII) dan kata sandi Anda sepanjang 12 karakter. Maka Anda akan memiliki:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Dengan GPU modern (saya menemukan ini di Perangkat Keras Tom):Toms Hardware

Anda bisa mendapatkan sekitar 215.000 tebakan per detik. Jadi jika kita melihat berapa lama waktu yang dibutuhkan:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Millenia untuk menebak kata sandi Anda (sebenarnya setengah dari jumlah itu secara statistik).

11
Lucas Kauffman

Benar-benar tidak ada jawaban satu ukuran untuk semua ini. Singkatnya adalah ini: Jika Anda ingin keseimbangan keamanan dan kegunaan yang tepat itu tepat untuk Anda, buat kata sandi selama dan serumit yang dapat Anda toleransi.

Bagi saya pribadi, saya tidak ragu menetapkan 63 karakter PSK yang dihasilkan secara acak pada titik akses saya. Ya, mungkin sulit untuk masuk ke perangkat pintar dan semacamnya. Tetapi hal yang saya selalu ingatkan diri saya dengan ini adalah saya hanya perlu memasukkannya satu kali per perangkat. Menambahkan perangkat baru ke jaringan saya adalah kejadian yang relatif jarang dan tidak signifikan, dibandingkan dengan jumlah waktu saya benar-benar menggunakan jaringan dan peningkatan keamanan kata sandi yang hampir tidak dapat dipecahkan.

Jika Anda tidak dapat hidup dengan meninju kata sandi yang dihasilkan secara acak sebanyak 63 karakter satu kali per perangkat di jaringan Anda, turunkan sampai Anda mendapatkan sesuatu yang lebih mudah dicerna untuk diri sendiri. Mungkin menemukan cara yang masuk akal untuk membuat kata sandi yang panjang dan tampaknya acak yang benar-benar masuk akal bagi Anda. Bergantung pada seberapa jauh Anda ingin mengamankan jaringan Anda, Anda mungkin juga ingin mempertimbangkan tambahan pertahanan mendalam seperti pemfilteran alamat MAC, partisi jaringan (mis. Firewall antara Wi-Fi & LAN), dan VPN.

Sejauh rekomendasi kata sandi umum (Wi-Fi dan lainnya), inilah saran saya:

  • Minimal 15 karakter.
    • Banyak standar lama mengatakan 8, kebanyakan standar baru mengatakan 12, dan beberapa bahkan merekomendasikan 20 atau lebih.
    • Saya katakan 15 sebagai minimal, karena memaksa versi Windows yang lebih lama untuk tidak menyimpan hash LANMAN yang tidak aman.
  • Gunakan semua 4 jenis karakter.
    • Huruf besar
    • Huruf kecil
    • Angka
    • Simbol
  • Hindari memasukkan kata-kata aktual, atau variasi kata sederhana, dalam kata sandi Anda.
    • "kata sandi"
    • "P @ $$ w0rd"
    • dll.
  • Jangan menuliskan kata sandi Anda, atau menyimpannya dalam file cleartext.
  • Jangan bagikan kata sandi Anda, dan jangan menggunakan kembali kata sandi sensitivitas tinggi di banyak situs.
2
Iszi

Saya menulis sebuah naskah kecil di Perl untuk Anda di bagian bawah. Anda harus bisa menafsirkannya dan mendapatkan jawaban Anda dengan kalkulator juga.

Ingatlah bahwa jika kata sandi Anda ada di kamus atau cukup pendek untuk menghasilkan tabel Rainbow untuk itu kekuatan efektifnya jauh lebih lemah yang seharusnya dihitung. Benchmark PBKDF2 untuk menentukan seberapa cepat kata sandi dapat diuji (Lucas menunjukkan 215.000 dengan beberapa perangkat keras grafis yang berat). Perhatikan bahwa tabel Rainbow akan menjadi faktor jika Anda memiliki nama SSID yang umum ("linksys"), tetapi tidak akan menjadi jika Anda memiliki sesuatu yang jauh lebih tidak jelas.

#!/usr/bin/Perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
2
Jeff Ferland

Ada minimal 2-3 cara saya akan mengatasi ini.

JIKA data dalam jaringan dilindungi oleh beberapa jenis regulasi (HIPAA, PCI, dll.) Maka saya akan berlebihan dan melakukan semua ini. Saya yakin masih ada lagi, tetapi hanya itu yang bisa saya pikirkan.

  1. Sebanyak karakter yang Anda dapat menderita.
  2. Matikan WPS karena reaver dapat memecahkan masalah ini dalam waktu sekitar 10 jam.
  3. Lakukan survei nirkabel untuk semua AP Anda dan matikan pengaturan daya sehingga Anda tidak bisa mendapatkan sinyal dari luar gedung. (Saya menggunakan penganalisa nirkabel untuk Android di ponsel saya atau diSSIDER www.metageek.net/products/inssider/ untuk laptop Anda)
  4. Mengunci alamat MAC (meskipun mereka bisa dipalsukan, itu akan membantu mencegah skiddies)
  5. periksa http://weaknetlabs.com mereka memiliki beberapa teori menarik tentang keamanan tambahan untuk WEP/WPA.
  6. Audit akses jaringan Anda secara khusus dengan melihat upaya untuk mengakses dan menggunakan ACL untuk tidak mengizinkan lebih dari upaya X untuk mencoba terhubung.
  7. jangan menyiarkan SSID Anda, sekali lagi ini akan mencegah skrip kiddies untuk mencoba mengakses jaringan Anda.

Apa merek/model router Anda?

0
Brad

Wajib xkcd referensi.

Yang benar-benar penting adalah seberapa banyak entropi kata sandi Anda. Masalahnya adalah "entropi dibandingkan dengan apa"? Jika kata sandi Anda ada dalam kamus 100 Word milik penyerang, maka kata sandi itu memiliki kurang dari 8 bit entropi meskipun menggunakan beragam jenis karakter, mis. Pa $$ w0rd. Aturan umum yang saya dengar adalah bahasa Inggris memiliki sekitar 3 bit entropi per huruf, jadi jika Anda tidak melakukan sesuatu yang bodoh maka Anda harus baik-baik saja dengan ciel (64/3) = 22 huruf.

Apapun, 8 karakter tidak cukup, seperti D.W. dijelaskan.

0
Major Major