Какой из них вы должны использовать? Почему важна безопасность Wi-Fi.
Устанавливаете новый Wi-Fi? Выбор типа пароля может показаться произвольным. В конце концов, WEP, WPA, WPA2 и WPA3 имеют в основном одни и те же буквы. Пароль - это пароль, так в чем разница?
Оказывается, от 60 секунд до миллиардов лет.
Не все шифрование Wi-Fi равнозначно. Давайте посмотрим, что отличает эти четыре аббревиатуры друг от друга и как лучше всего защитить домашний и корпоративный Wi-Fi.
Wired Equivalent Privacy (WEP)
Вначале был WEP.
Wired Equivalent Privacy - устаревший алгоритм безопасности с 1997 года, предназначенный для обеспечения эквивалентной безопасности проводного соединения. Устарело означает Давай больше так не будем.
Даже когда он был впервые представлен, он не был настолько сильным, насколько мог бы, по двум причинам: во-первых, из-за лежащего в его основе механизма шифрования; и два, Вторая мировая война.
Во время Второй мировой войны влияние взлома кода (или криптоанализа) было огромным. Правительства отреагировали тем, что попытались сохранить дома свои лучшие секретные рецепты соусов. Примерно во время WEP U.S. Государственные ограничения на экспорт криптографических технологий заставили производителей точек доступа ограничить свои устройства 64-битным шифрованием. Хотя позже это было увеличено до 128-битного, даже эта форма шифрования предлагала очень ограниченный возможный размер ключа.
Это оказалось проблематичным для WEP. Небольшой размер ключа привел к тому, что его было легче подобрать, особенно когда этот ключ не часто меняется.
В основе механизма шифрования WEP лежит поточный шифр RC4. Этот шифр приобрел популярность благодаря своей скорости и простоте, но за это пришлось заплатить. Это не самый надежный алгоритм. WEP использует один общий ключ для своих пользователей, который необходимо вручную ввести на устройстве точки доступа. (Когда вы в последний раз меняли свой пароль Wi-Fi? Верно.) WEP тоже не помог, просто объединив ключ с вектором инициализации, то есть он как бы смешал свои секретные биты вместе и надеялся к лучшему.
Вектор инициализации (IV): вход фиксированного размера в низкоуровневый криптографический алгоритм, обычно случайный.
В сочетании с использованием RC4 это сделало WEP особенно уязвимым для атак с использованием связанных ключей. В случае 128-битного WEP ваш пароль Wi-Fi может быть взломан общедоступными инструментами за время от 60 секунд до трех минут.
Хотя некоторые устройства предлагали 152-битные или 256-битные варианты WEP, это не помогло решить фундаментальные проблемы основного механизма шифрования WEP.
Так что да. Давай больше не будем этого делать.
Защищенный доступ Wi-Fi (WPA)
Новый временный стандарт призван временно исправить проблему (отсутствия) безопасности WEP. Название Защищенный доступ к Wi-Fi (WPA), безусловно, звучит более безопасно, так что это хорошее начало; однако WPA сначала началось с другого, более информативного названия.
Утвержденный в стандарте IEEE 2004, Протокол целостности временного ключа (TKIP) использует динамически генерируемый для каждого пакета ключ. Каждый отправленный пакет имеет уникальный временный 128-битный ключ (см. Описательный!), Который решает проблему уязвимости к атакам на основе связанных ключей, вызванных затиранием общих ключей WEP.
TKIP также реализует другие меры, такие как код аутентификации сообщения (MAC). MAC, который иногда называют контрольной суммой, предоставляет криптографический способ проверки того, что сообщения не были изменены. В TKIP недопустимый MAC-адрес также может вызвать смену ключа сеанса. Если точка доступа получает неверный MAC-адрес дважды в течение минуты, попытку вторжения можно предотвратить, изменив ключ, который пытается взломать злоумышленник.
К сожалению, чтобы сохранить совместимость с существующим оборудованием, которое WPA должно было исправить, TKIP сохранил использование того же основного механизма шифрования, что и WEP - потокового шифра RC4. Хотя он определенно улучшил слабые стороны WEP, TKIP в конечном итоге оказался уязвимым для новых атак, которые расширили предыдущие атаки на WEP. Для сравнения, эти атаки занимают немного больше времени: например, двенадцать минут в одном случае и 52 часа в другом. Однако этого более чем достаточно, чтобы считать TKIP более небезопасным.
WPA или TKIP с тех пор также устарели. Так что давайте и этого больше не будем.
Что подводит нас к…
Защищенный доступ Wi-Fi II (WPA2)
Вместо того, чтобы тратить усилия на то, чтобы придумать совершенно новое имя, улучшенный стандарт Wi-Fi Protected Access II (WPA2) вместо этого фокусируется на использовании нового базового шифра. Вместо потокового шифра RC4 WPA2 использует блочный шифр, называемый Advanced Encryption Standard (AES), чтобы сформировать основу своего протокола шифрования. Сам протокол, сокращенно CCMP, большую часть своей безопасности черпает из длины своего довольно длинного имени (я шучу): Протокол кода аутентификации сообщения цепочки блоков шифрования режима счетчика, который сокращается до протокола CBC-MAC режима счетчика, или Протокол режима CCM, или CCMP. 🤷
Режим CCM - это, по сути, комбинация нескольких хороших идей. Обеспечивает конфиденциальность данных через режим CTR, или режим счетчика. Чтобы значительно упростить, это добавляет сложности к данным открытого текста за счет шифрования последовательных значений счетной последовательности, которая не повторяется. CCM также интегрирует CBC-MAC, метод блочного шифрования для построения MAC.
Сама AES находится в хорошем состоянии. Спецификация AES была создана в 2001 году Национальным институтом стандартов и технологий США (NIST) после пятилетнего процесса конкурентного отбора, в ходе которого были оценены пятнадцать предложений по разработке алгоритмов. В результате этого процесса было выбрано семейство шифров под названием Rijndael (нидерландский язык), и их подмножество стало AES. На протяжении большей части двух десятилетий AES использовался для защиты повседневного интернет-трафика, а также определенных уровней секретной информации в правительстве США.
Несмотря на то, что описаны возможные атаки на AES, практическое применение ни одной из них еще не доказано. Самая быстрая атака на AES, о которой известно, - это атака с восстановлением ключа, которая улучшила грубую форсировку AES примерно в четыре раза. Сколько времени это займет? Какие-то миллиарды лет.
Защищенный доступ Wi-Fi III (WPA3)
Следующая часть трилогии WPA требуется для новых устройств с 1 июля 2020 года. Ожидается, что для дальнейшего повышения безопасности WPA2, стандарт WPA3 направлен на повышение безопасности паролей за счет большей устойчивости к списку слов или словарю. атаки ».
В отличие от своих предшественников, WPA3 также предлагает прямую секретность. Это добавляет значительное преимущество защиты ранее обмениваемой информации, даже если долгосрочный секретный ключ будет скомпрометирован. Прямая секретность уже обеспечивается такими протоколами, как TLS, с использованием асимметричных ключей для создания общих ключей. Вы можете узнать больше о TLS в этом посте.
Поскольку WPA2 не является устаревшим, как WPA2, так и WPA3 остаются вашим лучшим выбором для обеспечения безопасности Wi-Fi.
Если другие - отстой, почему они все еще здесь?
Вам может быть интересно, почему ваша точка доступа даже позволяет выбрать вариант, отличный от WPA2 или WPA3. Вероятная причина в том, что вы используете устаревшее оборудование, которое технические специалисты называют роутером вашей мамы.
Поскольку поддержка WEP и WPA была прекращена (выражаясь устаревшими терминами) сравнительно недавно, в крупных организациях, а также в доме ваших родителей возможно найти более старое оборудование, которое все еще использует эти протоколы. Даже более новое оборудование может иметь бизнес-потребность в поддержке этих старых протоколов.
Хотя мне, возможно, удастся убедить вас инвестировать в новое блестящее устройство Wi-Fi высшего класса, большинство организаций - это совсем другое дело. К сожалению, многие просто еще не осознают, какую важную роль кибербезопасность играет в удовлетворении потребностей клиентов и увеличении их прибыли. Кроме того, переход на новые протоколы может потребовать обновления внутреннего оборудования или прошивки. Обновление устройств может оказаться трудным с финансовой или стратегической точки зрения, особенно в сложных системах в крупных организациях.
Повысьте уровень безопасности Wi-Fi
Если это возможно, выберите WPA2 или WPA3. Кибербезопасность - это область, которая развивается день ото дня, и застревание в прошлом может иметь ужасные последствия.
Если вы не можете использовать WPA2 или WPA3, постарайтесь принять дополнительные меры безопасности. Лучше всего использовать виртуальную частную сеть (VPN). Использование VPN - хорошая идея независимо от того, какой у вас тип шифрования Wi-Fi. При открытом Wi-Fi (кафе) и использовании WEP обходиться без VPN - это просто безответственно. Это как выкрикивать реквизиты банка, когда вы заказываете второй капучино.
Выберите поставщика VPN, который предлагает такую функцию, как Блокировка сети ExpressVPN с автоматическим подключением. Это аварийный выключатель, который блокирует ваш сетевой трафик, если ваша VPN отключается, предотвращая случайную передачу информации при небезопасном соединении, таком как открытый Wi-Fi или WEP. Я лично использую ExpressVPN. Их функция автоматического подключения хорошо работает в Linux, и я никогда не беспокоюсь о том, чтобы не забыть запустить ее в первую очередь. Подробнее о выборе VPN я писал в этом посте.
Мои статьи вечнозеленые, а вот эта заметка - нет. Если вы читаете это, значит, вы все равно можете получить 3 дополнительных месяца бесплатно с ExpressVPN на Черную пятницу.
По возможности убедитесь, что вы подключаетесь только к известным сетям, которые контролируются вами или вашей организацией. Многие атаки кибербезопасности выполняются, когда жертвы подключаются к имитации общедоступной точки доступа Wi-Fi, что также называется атакой злого близнеца или фишингом Wi-Fi. Эти поддельные точки доступа легко создаются с помощью общедоступных программ и инструментов. VPN также может помочь уменьшить ущерб от этих атак, но всегда лучше не рисковать. Если вы часто путешествуете, подумайте о покупке портативной точки доступа, которая использует тарифный план сотовой связи или использует SIM-карты для передачи данных для всех ваших устройств.
Намного больше, чем просто аббревиатуры
WEP, WPA, WPA2 и WPA3 означают намного больше, чем набор похожих букв - в некоторых случаях разница составляет миллиарды лет минус около 60 секунд.
Надеюсь, я научил вас чему-то новому о безопасности вашего Wi-Fi и о том, как вы можете ее улучшить!
Если вы хотите меня поблагодарить, вы можете защитить себя с помощью ExpressVPN с моим рефералом. Я рекомендую только те продукты, которые использую лично, и этот надежный.
Если вам понравился этот пост, я хотел бы знать. Присоединяйтесь к тысячам людей, которые учатся вместе со мной на victoria.dev! Посетите или подпишитесь через RSS, чтобы узнать больше о программировании, кибербезопасности и шутках о папах в мультфильмах.
