Danielius Hruska Jei naudojate numatytąjį saugos slaptažodį, kad prisijungtumėte prie savo sukurtos asmeninės viešosios interneto prieigos taško, turėtumėte apsvarstyti galimybę jį pakeisti. Vokiečių mokslininkai iš Erlageno universiteto tvirtina, kad jį pavyks nulaužti greičiau nei per minutę.
V dokumentas su vardu Naudojamumas vs. saugumas: amžinas kompromisas Apple iOS mobiliųjų viešosios interneto prieigos taškų kontekste „Enlargen“ mokslininkai demonstruoja, kad sukuria silpnus numatytuosius asmeninio viešosios interneto prieigos taško slaptažodžius. Jie įrodo savo teiginius dėl brutalios jėgos atakos jautrumo nustatydami ryšį su WPA2.
Straipsnyje teigiama, kad iOS generuoja slaptažodžius pagal žodžių sąrašą, kuriame yra maždaug 52 200 įrašų, tačiau pranešama, kad iOS remiasi tik 1842 XNUMX iš jų. Be to, visas žodžių pasirinkimo iš sąrašo procesas yra nepakankamai atsitiktinis, dėl to jie netolygiai pasiskirsto sugeneruotame slaptažodžiu. Ir būtent šis blogas paskirstymas leidžia nulaužti slaptažodį.
Naudodami keturių AMD Radeon HD 7970 vaizdo plokščių grupę, Erlageno universiteto mokslininkai sugebėjo nulaužti slaptažodžius su nerimą keliančiu 100% sėkmės rodikliu. Viso eksperimento metu jie sugebėjo sutrumpinti prasiskverbimo laiką žemiau vienos minutės, tiksliai iki 50 sekundžių.
Be neteisėto interneto naudojimo iš prijungto įrenginio, taip pat galima gauti prieigą prie tame įrenginyje veikiančių paslaugų. Pavyzdžiui, AirDrive HD ir kitos belaidžio turinio bendrinimo programos. Ir ne tik įrenginys, kuriame sukuriamas asmeninis viešosios interneto prieigos taškas, gali turėti įtakos ir kiti prijungti įrenginiai.
Rimčiausias dalykas šioje situacijoje tikriausiai yra tai, kad visas slaptažodžio nulaužimo procesas gali būti visiškai automatizuotas. Programėlė buvo sukurta kaip įrodymas Hotspot Cracker. Skaičiavimo galia, reikalinga brutalios jėgos metodui, gali būti lengvai gaunama per debesį iš kitų įrenginių.
Visa problema kyla dėl to, kad gamintojai linkę kurti kuo labiau įsimenamus slaptažodžius. Vienintelė išeitis yra generuoti visiškai atsitiktinius slaptažodžius, nes nebūtina jų atsiminti. Kai suporuosite įrenginį, nebereikia jo įvesti dar kartą.
Tačiau popieriuje rašoma, kad panašiu būdu galima sulaužyti slaptažodį ir Android, ir Windows Phone 8. Su antruoju paminėta situacija dar lengvesnė, nes slaptažodis susideda tik iš aštuonių skaitmenų, o tai užpuolikui suteikia tarpą. iš 108.
Puiku, dabar kyla klausimas, kai kas nors naudojasi tašku.... Ar jis turi atitinkamų žinių, todėl automatiškai pakeičia slaptažodį savo patogumui, ar ne?