Wie sicher ist es, einen Passwort-Hash eines gebräuchlichen englischen Wortes als WPA2-Schlüssel zu verwenden?

1541
James Mishra

Ich habe einen kabellosen Router und möchte ein schwieriges Passwort, das in gewisser Weise noch leicht zu merken ist.

Ich kam auf die Idee, MD5, SHA-1, SHA-256 oder was auch immer für ein allgemeines englisches Wort wie "Superuser" zu verwenden, und den Hash als WPA2-Schlüssel zu verwenden.

Nehmen wir zum Beispiel an, dass "Superuser" mein Wort der Wahl war. Wenn ich SHA-1 als Hash gewählt habe, würde ich dann meinen WPA2-Schlüssel einrichten 8e67bb26b358e2ed20fe552ed6fb832f397a507d.

Ist das eine sichere Praxis? Gewöhnliche englische Wörter werden gewissermaßen im Schlüssel verwendet, aber der Schlüssel selbst ist eigentlich eine lange, komplexe hexadezimale Zeichenfolge.

4
Nicht sicher jetzt, dass du es erwähnt hast :) RCIX vor 14 Jahren 1

4 Antworten auf die Frage

3
Robert Cartaino

Wenn Sie nicht die Methode angeben, wie Sie Ihren "langen WPA2" -Schlüssel generiert haben (was Sie gerade getan haben), handelt es sich lediglich um eine zufällige Textfolge, die normalerweise ziemlich sicher wäre. Wenn dagegen jemand wusste, dass Sie "ein allgemeines englisches Wort" verwenden, und einen Hash dieses Wortes als Schlüssel verwendet, kann jeder schnell eine Folge von Hashes aus einem Wörterbuch generieren und Ihr Kennwort ziemlich schnell brechen.

Wenn Sie nach einem "schwierigen Kennwort suchen, das sich immer noch leicht merken kann", kommen Sie zu einer längeren Passphrase, die Ihnen etwas bedeutet, aber von keinem anderen leicht erraten wird. Beginnen Sie mit einem Satz (dh einer Folge von Wörtern, Sätzen usw.), mischen Sie eine Folge von Ziffern ein, die Ihnen etwas bedeuten (abgesehen von Geburtstagen, Telefonnummern usw.), und generieren Sie eine lange Taste, die "leicht zu merken" ist Weg.

Ich bin mit Wil & Robert dabei. Eine Pass-Phrase ist im Allgemeinen sicherer als ein Pass-Wort - nur die Länge macht das Erraten der Phrase um einiges schwieriger. DaveParillo vor 14 Jahren 0
Ich stimme meistens zu, außer dass ein Hash eines englischen Wortes * nicht * eine zufällige Textfolge ist. Es ist was es ist, ein Hash von einem englischen Wort. Mit anderen Worten: Die vorgeschlagene Methode vergrößert den Schlüsselraum nicht, macht aber weitverbreitete Regenbogentabellen unbrauchbar. Angesichts der Tatsache, dass die Erzeugung eines Regenbogentisches nicht so einfach ist, ist dies eine gute Sache. Um den Schlüsselbereich zu vergrößern, sollten Sie in Betracht ziehen, Ihr Kennwort mit einem Salt zu verschlüsseln. Ludwig Weinzierl vor 14 Jahren 1
2
William Hilsum

Es ist so sicher wie jeder andere Schlüssel, solange Sie es niemandem mitteilen.

Am Ende des Tages wird Ihr Schlüssel 0-9, af ... sein, was eigentlich nur 16 mögliche Zeichen anstelle von nur az ergibt, was 26 ergibt. Wenn Sie also denken, Sie seien schlau und sagen Sie es jemandem. " Ich verwende SHA-1 ", Sie reduzieren tatsächlich ihre rohen Kraftkombinationen um einige.

Ich persönlich denke, Sie wären viel besser dran, wenn Sie ein normales langes Wort / mehrere normale Wörter mit einer Mischung aus Groß- und Kleinschreibung haben und dann einige Zufallszahlen und Symbole einwerfen.

Richtig, aber ich würde sagen, dass das "Einspielen einiger Zufallszahlen und Symbole" nicht wesentlich dazu beiträgt, dass es einfacher wird, sich daran zu erinnern. Wie wäre es mit einigen * nicht zufälligen * Zahlen ;-) DaveParillo vor 14 Jahren 0
Richtig - aber dann wieder, seit wann ist eine SHA-1-Taste leicht zu merken? William Hilsum vor 14 Jahren 0
interessanter Punkt ... vielleicht a) das Wort salzen, b) Hash mit sha-256 und c) das Ergebnis von Hex (Basis-16) in Basis-26 (a..z) oder sogar Basis-36 (0 ..9, a..z). quack quixote vor 14 Jahren 0
Ich persönlich denke, es ist am besten, ein langes, einzigartiges Passwort wie "this_is! My.password, for2the3week_of30 / 11/09" zu verwenden ... und es jede Woche zu ändern, um etwas anders zu sein die Probleme und schwieriger zu knacken! William Hilsum vor 14 Jahren 0
Das ist auch keine schlechte Methode ... zwischen den beiden ist es eine Frage des individuellen Geschmacks. Ihr Beispiel wäre sicherlich leichter zu merken. quack quixote vor 14 Jahren 0
1
Arkenklo

Es ist sicher, solange niemand die Methode herausfinden kann. Dazu gehört natürlich auch die Prahlerei im Büro, aber auch Spuren jeglicher Art, die Sie hinterlassen können. Wenn Sie beispielsweise einen zufälligen Benutzer mit Ihrem Netzwerk verbinden, verwenden Sie wahrscheinlich eine clientseitige Anwendung, um den Hash zu generieren. Wenn der zufällige Benutzer dann feststellt, dass es ein echo "superuser" | sha1sumProtokoll im Protokoll gibt, ist es nicht zu schwer, die beiden zusammenzufügen.

Da man den Hash extern erzeugen muss, verschwindet ein Großteil der Bequemlichkeit. Im Allgemeinen würde ich sagen, dass das Hashing eines gewöhnlichen Wortes eine akzeptable Methode ist, um schnell einen semi-zufälligen Schlüssel zu generieren. Der Schlüssel muss jedoch immer noch kopiert oder bei der Eingabe in Erinnerung bleiben, um keine Schwäche darzustellen.

Der einzige andere Vorteil, den ich mir vorstellen kann, ist, dass der Schlüssel / Satz / das Kennwort bei Verlust leicht reproduziert werden kann. Wenn die oben genannten Sicherheitsmaßnahmen getroffen werden, sehe ich keinen Grund, keine gehashten Wörter als Schlüssel zu verwenden.

0
OPSXCQ

Dies ist ein reales Beispiel für Sicherheit durch Unklarheit . Wenn Sie davon ausgehen, dass Sie sicher sind oder in Ihrem Fall sicherer sind als Benutzer, die ihre Kennwörter ohne diesen Vorgang eingegeben haben.

Das eigentliche Problem ist das falsche Sicherheitsgefühl. Wenn Sie ein schwaches Kennwort verwenden, z. B. 12345678, wenn Sie das SHA1-Ergebnis als WPA2-Kennwort verwenden, wird es fast unmöglich, den WPA2-Hash zu knacken. Die Benutzer kümmern sich normalerweise nicht um die Möglichkeit, dass jemand sie knacken kann, aber sobald jemand Ihr verstecktes Geheimnis kennt, wird Ihr Hash leicht geknackt. Wenn Sie sich für ein sicheres Kennwort entscheiden, müssen Sie sich keine Sorgen machen, selbst wenn Ihr Geheimnis gefährdet ist. Ein gutes Kennwort benötigt viel mehr Zeit, um geknackt zu werden, als es für den Angreifer wert ist, zu warten.

Das wird uns zu der Frage führen, ob Sicherheit durch Dunkelheit so schlecht ist? IMHO ja, es ist nur wegen des falschen Sicherheitsgefühls das gleiche, was automatisierte Pentest-Tools von geringer Qualität bringen, wenn sie nach einem Scan keine Sicherheitslücken aufweisen oder wenn ein Antivirus sagt, dass eine ausführbare Datei sauber ist.