Apa adalah rumah terbaik jaringan nirkabel algoritma enkripsi untuk digunakan? Saya menyadari jawaban terbaik akan mungkin berubah dari waktu ke waktu, dan mudah-mudahan orang-orang yang dapat memberikan diperbarui jawaban sebagai standar baru keluar. Sejauh ini, sepengetahuan saya, pada awal 2015 adalah:
Apakah ada yang lebih baik enkripsi standar untuk digunakan dibandingkan WPA2 untuk jaringan nirkabel di rumah, atau adalah bahwa yang terbaik yang ada? Jika itu adalah yang terbaik yang ada, adalah hal yang mudah untuk hack?
Jika memang benar seperti orang-orang lain menunjukkan bahwa WPA-2 tidak memadai, dan tidak ada yang baik ada, tampaknya seperti itu akan menjadi ide yang baik, bahkan mungkin uang yang baik membuat kesempatan bagi seseorang untuk mengembangkan sesuatu yang lebih baik!
Edit (1 Juli 2019): WPA3 sekarang menjadi pilihan yang lebih baik daripada WPA2.
Dari perspektif keamanan, saya pikir anda mengajukan pertanyaan yang salah. WPA2 adalah jawaban dasar. Tapi itu's seluruhnya tidak lengkap! Jawaban yang lebih lengkap akan melihat WPA2 sebagai salah satu komponen dari jaringan nirkabel anda pertahanan. Tentu saja ada's sangat metode enkripsi menggunakan sertifikat/vpn dll tapi ini terlalu sulit bagi kebanyakan orang untuk mengatur dan biasanya dicadangkan untuk usaha. Jadi let's asumsikan WPA-2 adalah 'terbaik' menjawab pertanyaan dasar. Namun... seperti anda'll lihat, ada's banyak poin yang lemah penyerang pergi, yang pada akhirnya mengungkapkan WPA2 password, jadi saya've termasuk dalam poin-poin di bawah ini.
I'm asumsi banyak orang akan mendarat di halaman ini dan melihat jawaban yang mengatakan 'ya hanya menggunakan password dan enkripsi WPA2', yang buruk saran. Anda WPA2 jaringan adalah benar-benar masih rentan, seperti yang anda akan melihat:
- hal utama yang dapat anda lakukan, adalah menjadi paling seseorang untuk hack di sekitar anda. Yang's terbesar jera. Jika saya'm akan hack anda, tetapi anda're terlalu lama atau terlalu mahal untuk memecahkan, I'll mencoba orang berikutnya. Ini akan membutuhkan beberapa bermain-main dalam pengaturan router anda.
- I'll asumsikan anda akan jangan pernah menggunakan WEP. 10 menit di youtube dan ibumu dapat memecahkannya.
- Menonaktifkan WPS. ini adalah SANGAT rentan terhadap serangan brute force dan dapat diretas dalam hitungan detik, bahkan jika anda menggunakan WPA2 dengan yang sangat kompleks password. Alat-alat seperti reaver dan revdk3 atau pengganggu membuat pekerjaan ringan ini. Anda're hanya sedikit lebih terlindungi jika router anda mendukung tingkat-membatasi, yang memperlambat, tapi doesn't mencegah serangan brute force terhadap router pin. Lebih baik untuk menjadi aman dan hanya beralih WPS off dan 100% aman terhadap serangan ini.
- matikan akses remote, DMZ, UPNP, tidak perlu port forwarding
- pada gilirannya, setiap built-in deteksi intrusi sistem MAC address filtering (membosankan untuk mengatur jika pengunjung untuk rumah anda ingin akses ke wifi anda (anda akan memiliki untuk menambahkan teman anda perangkat ke router's MAC white-list untuk mengaktifkan akses) Ini dapat hacked dengan berpura-pura MAC address dengan mudah, dan mendapatkan MAC anda juga mudah dengan airodump-ng scan, namun demikian, ini akan memperlambat penyerang, mengharuskan mereka untuk berada di dekat klien perangkat (ponsel, atau laptop di whitelist) Itu akan cukup efektif terhadap beberapa serangan jarak jauh.
- memiliki sangat panjang, non-manusia, password yang kompleks. Jika anda pernah mencoba untuk mendekripsi password anda'll tahu bahwa itu akan secara eksponensial lebih sulit untuk crack password yang lebih kompleks, kurang dapat diprediksi dan lama. Jika password anda bahkan dari jarak jauh menyerupai sebuah kata, atau sesuatu yang mungkin bisa menjadi satu set kata-kata (lihat: rantai markov) anda selesai. Juga don't repot-repot menambahkan angka di bagian akhir dari password, maka simbol... ini dengan mudah di-hack dengan dictionary attack dengan aturan yang memodifikasi kamus daging itu untuk menutupi lebih banyak password. Ini akan mengambil setiap kata atau kata-kata dalam kamus, dan tambahkan populer sintaks dan struktur, seperti password yang terlihat seperti ini 'huruf kapital, huruf kecil, angka-angka ini kemudian simbol. Cat111$, Cat222# atau apapun cracker inginkan. Kamus ini sangat besar, beberapa dapat diselidiki pada crackstation atau hanya melihat-lihat di Moxie Marlinspikes' cloudcrackr.com. Tujuan di sini adalah untuk menjadi 'komputasi mahal'. Jika anda terlalu banyak biaya untuk crack menggunakan ultra kecepatan tinggi berbasis cloud retak komputer maka anda're aman terhadap hampir semua orang. Jadi idealnya anda ingin menggunakan maksimal 64 karakter untuk password anda, dan membuatnya terlihat seperti yang paling kacau mengganggu simbol diinfus bagian koheren atas-bawah-kasus menggiring bola anda've pernah melihat. Anda'll mungkin akan aman setelah 14 karakter meskipun, ada's cukup sedikit entropi di sini, tapi itu's jauh lebih mudah untuk menambahkan karakter dari itu untuk mendekripsi.
- anda dengan mengubah pengaturan router default password dan SSID. tidak ada yang melakukan ini, tapi semua orang harus. It's benar-benar hal paling bodoh. Juga, don't mendapatkan malas. dan don't tetap router's nomor model di SSID, yang's hanya meminta masalah.
- update router's firmware. Juga, jika router anda sudah tua. membuangnya dan membeli yang baru, karena itu's mungkin router anda di beberapa website seperti routerpwn.com dan've kehilangan pertempuran. Tua router yang penuh dengan bug, dapat dengan mudah denial-of-serviced, don't biasanya memiliki firewall atau sistem deteksi intrusi dan don't biasanya memiliki brute-force WPS tingkat membatasi antara hal-hal lain. hanya mendapatkan yang baru.
- belajar tentang kejahatan-twin hacks. Cara termudah untuk melindungi terhadap ini adalah untuk menghentikan perangkat anda dari auto-menyambung. Namun, ini mungkin masih tersangkut anda. Menjadi akrab dengan perangkat lunak seperti wiphishing dan airbase-ng, aplikasi ini clone router anda, maka Denial of service router anda membuat perangkat anda terhubung ke penyerang kloning router, yang memungkinkan mereka untuk mencegat lalu lintas anda. Mereka'll biasanya mencoba untuk phish WPA2 password dari anda di sini. Anda're lebih aman dari serangan ini jika anda benar-benar tahu apa yang anda router's web console terlihat seperti, karena default halaman phishing yang datang dengan jenis-jenis aplikasi yang biasanya cukup lama mencari, namun canggih penyerang dapat membuat halaman arahan yang baik. Sederhananya, jika anda 'router' yang pernah ingin anda ketik password don't jenis itu! Anda'll hanya pernah diminta ketika anda membuat password, ketika anda log in ke 192.168.0.1 atau 10.1.1.1 user interface, maka anda sedang terkena phising dan's permainan berakhir. Untuk mencegah serangan ini anda juga bisa artifisial mengurangi jangkauan router anda. mengeluarkan antena's dan membuat sedikit faraday cage sekitar itu, meninggalkan sebuah daerah kecil yang menunjuk ke yang paling ideal wifi posisi. Atau, hanya menggunakan kabel ke laptop atau komputer sampai penyerang menyerah.
- jabat tangan serangan cukup populer, ini adalah di mana penyerang mengirimkan deauthorisation paket untuk siapa pun yang terhubung ke router anda dengan menggunakan password anda, kemudian ketika perangkat tersebut (misalnya iPhone) mencoba untuk menyambung kembali, ia menangkap '4 cara jabat tangan' yang let's perangkat dan router mengotentikasi menggunakan WPA2 password. Ini adalah apa yang hacker gunakan untuk crack offline menggunakan password serangan pada point 6. Namun jika anda telah menggunakan password yang kuat (seperti yang dijelaskan di point 6) kemudian anda've dikurangi serangan ini sudah.
- Jadi saya've difokuskan pada router berbasis pertahanan, tapi ada's benar-benar cara yang lebih mudah untuk diserang. Jika penyerang mengetahui siapa anda, anda're kacau. Dengan sedikit rekayasa sosial, mereka bisa menemukan teman facebook anda, email atau cara lain untuk menghubungi anda dan menyisipkan beberapa berbahaya cuplikan kode yang's tidak terlihat dan membajak seluruh komputer, yang oleh karena itu memungkinkan mereka hanya memeriksa pengaturan wifi di komputer anda dan mendapatkan ultra kuat password anda've menghabiskan begitu banyak waktu untuk membuat. Salah satu metode yang populer adalah untuk mengirimkan email yang's sampah, dan terus mengirim sampai anda klik berhenti berlangganan, karena anda biasanya akan untuk junk mail, kecuali link ini adalah persis hal terburuk yang harus dilakukan. Anda've melanggar hukum kardinal email. Don't klik link di email. Jika anda harus klik satu, setidaknya memeriksa di mana itu pergi dulu.
- Jika seseorang memiliki akses ke perangkat anda, atau colokan/mendapatkan anda untuk plug perangkat ke laptop anda, anda're gone. hal-hal seperti stik usb 'usb rubber ducky' bisa berkompromi komputer anda dan mengungkapkan WPA2 password yang relatif hacker pemula.
Singkatnya, WPA2 saat ini yang paling aman keamanan nirkabel skema.
Mendukung dua mode utama otentikasi, yang dikenal sebagai WPA2-Personal dan WPA2-Enterprise. Mantan menggunakan pre-shared key (PSK) dan umumnya dianggap paling cocok untuk jaringan rumah, sedangkan yang terakhir adalah 802.1 x yang memerlukan otentikasi server.
Ketiga mode otentikasi, penyimpanan bagasi, Wi-Fi Protected Setup (WPS), dikenal rentan dan harus dinonaktifkan pada semua jaringan wireless. Saat ini modus otentikasi diaktifkan (dan sering dengan default) berhubungan PIN yang biasanya dapat dihitung dalam hitungan jam.
PSK, jenis yang digunakan dalam jaringan rumah, rentan terhadap offline serangan brute-force. Jika seorang penyerang dapat menangkap WPA/WPA2 jabat tangan, mereka dapat menggunakan brute-force dan serangan kamus (seperti yang mungkin anda lakukan dengan hash), pada dasarnya akan melalui sejumlah besar nilai yang mungkin sampai pertandingan ditemukan. Untungnya, menghasilkan WPA jabat tangan ini cukup lambat yang membuat ini sulit bagi seorang penyerang, tapi setelah jabat tangan telah ditangkap mereka don't harus tinggal di sekitarnya, sehingga berpotensi bisa pergi selama berbulan-bulan untuk memecahkannya secara offline (jika mereka're sangat ditentukan)!
Potensi penanggulangan terhadap PSK serangan meliputi:
Cukup kuat kunci yang panjang, kompleks, dan tidak didasarkan pada kamus kata atau frase umum (pilihan acak), seperti bahwa itu akan mengambil waktu yang sangat panjang untuk retak.
Kunci yang berubah pada interval yang teratur, sehingga hal ini tidak mungkin bahwa seorang penyerang akan dapat memecahkannya sebelum perubahan.
Jangan menggunakan default SSID. Mengubah "" jaringan nirkabel akan mencegah rainbow tabel dari yang berguna. Rainbow tabel telah disusun untuk banyak kesamaan Ssid dan ini dapat secara signifikan mengurangi waktu yang dibutuhkan untuk memecahkan PSK.
Jika anda're benar-benar sadar keamanan maka hal ini sepenuhnya mungkin untuk setup WPA2-Enterprise di lingkungan rumah, meskipun anda'll perlu mengkonfigurasi server RADIUS dan menggunakan router yang mendukung itu - jadi's sebuah proses yang jauh lebih kompleks. Contoh
Rekomendasi di atas adalah hanya yang terkait untuk mengurangi kemungkinan WPA2 menjadi pecah-pecah secara khusus. Dalam jaringan nirkabel, berbagai pertimbangan lain perlu dilakukan seperti mengubah router's konfigurasi username dan password dan apakah daftar perangkat harus dipantau atau penyaringan alamat MAC yang digunakan.
Jawaban singkatnya adalah: menggunakan WPA2. WPA akan agak lumayan, tapi WPA2 harus benar-benar disukai. Jangan not menggunakan WEP, yang tidak benar-benar lebih baik dari apa-apa yang (bisa dibilang, WEP adalah lebih buruk dari apa-apa, karena itu memberikan kepada pengguna impression keamanan yang terjadi, padahal tidak).
Yang lebih penting, pastikan untuk menggunakan password yang kuat (artinya: sangat random) dan mencoba untuk menghindari "umum SSID" suka (katakanlah) "homewifi" (beberapa orang telah disusun meja yang besar precomputed hash password untuk beberapa kesamaan SSID nilai-nilai; anda masih bisa mengalahkan penyerang dalam situasi itu dengan menggunakan bahkan lebih random password, tetapi menggunakan aplikasi yang jarang SSID meningkatkan peluang anda). Perhatikan bahwa pengguna normal jenis password WiFi hanya sekali, setelah itu, password yang tersimpan di dalam perut dari komputer atau perangkat seluler mereka; dengan demikian, tidak ada masalah sebenarnya dengan memiliki panjang, gemuk, acak, unmemorizable password untuk jaringan WiFi anda.
SSID tersembunyi don't meningkatkan keamanan (meskipun beberapa orang yakin bahwa yang mereka lakukan). Dengan non-SSID tersembunyi, pengguna tidak perlu mengetik bahkan sekali, sehingga yang dipilih secara acak SSID dapat digunakan dengan tidak ada efek sakit; yang dipilih secara acak SSID adalah mungkin "biasa" dalam pengertian yang diungkapkan di atas.
(Dalam semua hal di atas, oleh "random", maksud saya "menghasilkan dengan koin/dadu/komputer, not dengan manusia, gemuk otak, yang terakhir ini benar-benar tidak mampu menghasilkan keacakan non-menyedihkan kualitas.)
Saya tidak menyadari apa yang sedang berlangsung berencana untuk membuat yang baru, peningkatan WPA3. WPA2 sudah cukup kuat, dalam keterbatasan WiFi desain-khususnya, WPA2 melindungi jaringan dari luar, tapi tidak not berarti bahwa secara teratur terhubung pengguna tidak dapat memata-matai satu sama lain. Jika anda ingin pergi lebih jauh, anda akan memiliki untuk menambahkan lapisan lain, misalnya menegakkan penggunaan IPsec antara pengguna dan mesin gateway.