บ้าน Securitywatch นักวิจัยถอดรหัสรหัสผ่านฮอตสปอตส่วนบุคคล ios

นักวิจัยถอดรหัสรหัสผ่านฮอตสปอตส่วนบุคคล ios

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
Anonim

หากคุณใช้ Personal Hotspot บน iPhone เพื่อตั้งค่าจุดเชื่อมต่อไร้สายอย่าลืมสร้างข้อความรหัสผ่านของคุณเองแทนที่จะใช้ข้อความรหัสผ่านที่สร้างขึ้นโดยอัตโนมัติ

ทีมนักวิทยาศาสตร์คอมพิวเตอร์ที่มหาวิทยาลัย Erlangen ในเยอรมนีสามารถถอดรหัสรหัสผ่านที่สร้างขึ้นโดยอัตโนมัติโดยเครื่องกำเนิดไฟฟ้า passphrase ภายในเวลาน้อยกว่าหนึ่งนาทีตามรายงานทางเทคนิคที่เผยแพร่โดยมหาวิทยาลัยในเดือนนี้ เวลาจริงในการถอดรหัสวลีรหัสผ่าน - โดยใช้การตั้งค่าที่หนักหน่วงกับการ์ดกราฟิกที่ทรงพลังสี่ตัว - เพียง 24 วินาทีตามข้อมูลในกระดาษ

คุณลักษณะที่มีอยู่ในอุปกรณ์ iOS ที่มีการรองรับ 3G ฮอตสปอตส่วนบุคคลช่วยให้ผู้ใช้ตั้งค่าจุดเชื่อมต่อ Wi-Fi สำหรับอุปกรณ์อื่น ๆ เพื่อเชื่อมต่อ สมมติว่าคุณกำลังประชุม, ในการประชุม, หรือที่ร้านกาแฟและเพียงแค่ต้องออนไลน์ด้วยแล็ปท็อปของคุณบนเครือข่ายที่ปลอดภัย คุณสามารถเปิดใช้งานฮอตสปอตส่วนบุคคลด้วยวลีรหัสผ่าน WPA เพื่อสร้างเครือข่ายไร้สายที่ปลอดภัยซึ่งอุปกรณ์อื่นสามารถเชื่อมต่อได้ นักวิจัยหาวิธีถอดรหัสวลีรหัสผ่านที่สร้างขึ้นอัตโนมัติ

"เมื่อพิจารณาถึงการเพิ่มประสิทธิภาพของเราแล้วเราสามารถแสดงให้เห็นว่าผู้โจมตีสามารถเปิดเผยรหัสผ่านเริ่มต้นของผู้ใช้ฮอตสปอต iOS โดยพลการภายในไม่กี่วินาที" Andreas Kurtz, Felix Freiling และ Daniel Metz เขียนไว้ในกระดาษ

ผลการวิจัย

นักวิทยาศาสตร์คิดว่าถึงเวลาที่ต้องใช้ผู้โจมตีที่อาจเกิดขึ้นในการจับมือสี่ทางที่เจรจากันทุกครั้งที่อุปกรณ์ที่เปิดใช้งานไร้สายเชื่อมต่อกับเครือข่าย WPA2 (Wi-Fi Protected Access 2) ได้สำเร็จ "ผู้โจมตีต้องการจับมือการตรวจสอบความถูกต้อง WPA2 เท่านั้นและถอดรหัสคีย์ที่แบ่งปันล่วงหน้าโดยใช้พจนานุกรมที่ปรับให้เหมาะสมของเรา" Kurtz, Freiling และ Metz เขียน

หากคุณใช้คุณสมบัติฮอตสปอตบน iPhone และ iPad ของคุณเพื่อแบ่งปันการเชื่อมต่ออินเทอร์เน็ตบนมือถือกับอุปกรณ์ที่เปิดใช้งานไร้สายอื่น ๆ ข้อความทั้งหมดของวลีรหัสผ่านคือการปกป้องเครือข่ายจากการป้องกันผู้โจมตีที่อาจเกิดขึ้นซึ่งอยู่ในระยะของเครือข่าย แต่หากพวกเขาสามารถระบุคีย์ได้พวกเขายังสามารถเชื่อมต่อกับฮอตสปอต (และใช้แบนด์วิดท์ของคุณได้มากขึ้น) ตรวจสอบกิจกรรมเครือข่ายของคุณหรือเปิดใช้การโจมตีแบบ Man-in-the-Middle iPhone

"ตัวเลือกข้อความรหัสผ่านสำหรับฮอตสปอตส่วนบุคคลของคุณมีความสำคัญเท่ากับข้อความรหัสผ่านที่คุณเลือกสำหรับเราเตอร์ Wi-Fi โทรศัพท์พื้นฐานที่บ้าน" Paul Ducklin ผู้เชี่ยวชาญด้านความปลอดภัยที่ Sophos เขียนไว้ในบล็อกของ Naked Security

ข้อความรหัสผ่านแบบสุ่มไม่ให้

Apple สร้างสตริง "ออกเสียง" ระหว่างตัวละครสี่ถึงหกตัวและต่อท้ายตัวเลขสี่หลักแบบสุ่มที่ส่วนท้ายของสตริงเพื่อสร้างข้อความรหัสผ่านฮอตสปอต ปรากฎว่าคำทั้งหมดที่สร้างขึ้นในระหว่างการวิจัยของพวกเขาสามารถพบได้ในรายการคำที่ใช้โดยเกม Scrabble โอเพ่นซอร์ส นักวิจัยใช้เวลาเพียง 49 นาทีในแล็ปท็อปที่มีการ์ดกราฟิกการ์ดเดียวเพื่อวนเวียนข้อความรหัสผ่านที่เป็นไปได้ทั้งหมดโดยใช้รายการคำศัพท์นี้

หลังจากแคตตาล็อกรหัสผ่านที่สร้างขึ้นโดยฮอตสปอตส่วนบุคคลในประมาณ 250, 000 อินสแตนซ์นักวิจัยระบุว่า Apple ใช้คำศัพท์ที่ต่างกันเพียง 1, 842 คำเป็นสตริงฐานเพื่อสร้างวลีรหัส นี่หมายความว่ามีการรวมวลีรหัสผ่านที่เป็นไปได้น้อยกว่า 18.5 ล้านชุดในการค้นหา

“ ในขณะที่ตัวสร้างวลีรหัสผ่านอัตโนมัติสำหรับ iOS อาจให้ความรู้สึกของ 'การออกเสียงแบบสุ่ม' แต่จริงๆแล้วมันให้ความรู้สึกที่ผิด ๆ เกี่ยวกับความปลอดภัยเพราะมันเดาได้ยากเกินไป "Ducklin กล่าว

เลือกข้อความรหัสผ่านของคุณเอง

ในขณะที่รหัสผ่านแบบสุ่มอย่างแท้จริงอาจเป็นเรื่องยากสำหรับผู้ใช้โดยเฉลี่ยในการจัดการเป็นประจำหาก Apple ได้โยนตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็กพร้อมกับอักขระพิเศษลงในตัวสร้างข้อความรหัสผ่านสตริงผลลัพธ์จะใช้เวลาและทรัพยากรมากกว่า แตกมากกว่าสิ่งที่กำลังสร้างตามที่นักวิจัย

"เลือกข้อความรหัสผ่านของคุณเองและทำให้เป็นข้อความที่ดีเมื่อใช้ฮอตสปอตส่วนบุคคลของ iOS" แนะนำ Ducklin

ที่กล่าวว่าปัญหาวลีรหัสผ่านที่อ่อนแอไม่ได้ จำกัด เพียงแค่อุปกรณ์ iOS นักวิจัยเตือน Windows Phone 8 ของ Microsoft สร้างหมายเลขแปดหลักเป็นรหัสผ่านเริ่มต้นและขึ้นอยู่กับผู้ให้บริการโทรศัพท์มือถือ Android บางรุ่นอาจสร้างข้อความรหัสผ่านที่ง่ายต่อการถอดรหัส

Personal Hotspot ยังช่วยให้เจ้าของ iPhone ตรวจสอบจำนวนผู้ที่เชื่อมต่อกับเครือข่ายจริง ๆ ดังนั้นจึงเป็นความคิดที่ดีที่จะจดบันทึกผู้เยี่ยมชมที่คุณอาจมี และเลือกข้อความรหัสผ่านของคุณเองและทำให้เป็นรหัสที่ดีเมื่อตั้งค่าฮอตสปอตส่วนตัวของคุณ

นักวิจัยระบุคำสิบคำซึ่งรวมถึง "อ่อนโยน" "subbed" และ "มุ่งหน้า" ซึ่งมีแนวโน้มที่จะเลือกวลีรหัสผ่านมากกว่าคำอื่น ๆ ถึงสิบเท่า

นักวิจัยถอดรหัสรหัสผ่านฮอตสปอตส่วนบุคคล ios