Quão seguro é usar um hash de senha de uma palavra em inglês comum como uma chave WPA2?


5

Eu tenho um roteador sem fio e quero uma senha difícil que, de certa forma, seja fácil de lembrar.

Eu tive essa idéia de pegar o MD5, SHA-1, SHA-256 ou qualquer hash de uma palavra em inglês comum, como "superusuário" e usar o hash como a chave WPA2.

Por exemplo, digamos que "superusuário" foi minha palavra de escolha. Se eu escolhi SHA-1 tem o meu hash, então eu iria configurar a minha chave WPA2 para ser 8e67bb26b358e2ed20fe552ed6fb832f397a507d.

Esta é uma prática segura? Palavras inglesas comuns estão sendo usadas - de certa forma - na chave, mas a chave em si é na verdade uma cadeia hexadecimal longa e complexa.


1
Não seguro agora que você mencionou :)
RCIX

Respostas:


4

A menos que você revele o método de como você gerou sua chave "long WPA2" (que você acabou de fazer), é apenas uma string hexadecimal complexa que normalmente seria bastante segura. Por outro lado, se alguém soubesse que você estava usando "uma palavra em inglês comum" e usasse um hash dessa palavra como chave, qualquer um poderia rapidamente regenerar uma sequência de hashes de um dicionário e usá-la como um mesa de arco-íris para quebrar sua senha rapidamente.

Se você está procurando por uma "senha difícil que ainda é fácil de lembrar", por que você não cria um passe mais longo? frase isso significa algo para você, mas não é facilmente adivinhado por ninguém. Isso tornaria as tabelas do arco-íris generalizadas essencialmente inúteis. Comece com uma frase (ou seja, sequência de palavras, frase, etc), misture uma sequência de dígitos que signifique algo para você (evite aniversários, números de telefone, etc.) e gere uma chave longa que seja "fácil de lembrar" dessa maneira.


Estou com o Wil & amp; Robert neste aqui. Um passe frase é geralmente mais seguro que um passe palavra - só o comprimento faz adivinhar sua frase que muito mais difícil.
DaveParillo

1
Eu concordo principalmente, exceto que um hash de uma palavra em inglês é não uma seqüência aleatória de texto. É o que é, um hash de uma palavra inglesa. Em outras palavras: O método proposto não amplia o espaço-chave, mas torna inúteis as generalizadas tabelas do arco-íris. Dado o fato de que gerar uma tabela de arco-íris não é tão fácil, isso é uma coisa boa. Para ampliar o espaço da chave, você pode considerar criptografar sua senha com um sal.
Ludwig Weinzierl

2

É tão seguro quanto qualquer outra chave, desde que você não conte a ninguém.

No final do dia, sua chave estará usando 0-9, af ... que na verdade só dá 16 caracteres possíveis em vez de apenas az, o que daria 26. Portanto, se você acha que está sendo inteligente e diz a alguém " Eu estou usando SHA-1 ", você está realmente reduzindo suas combinações de força bruta por algumas.

Pessoalmente, acho que seria muito melhor você ter apenas uma palavra longa normal com uma mistura de maiúsculas e minúsculas, depois colocar alguns números e símbolos aleatórios.


É verdade, mas eu diria que 'jogando alguns números aleatórios & amp; símbolos 'não contribuem muito para tornar mais fácil de lembrar. Que tal jogar em alguns não aleatório números ;-)
DaveParillo

Verdade - mas, novamente, desde quando é uma chave SHA-1 fácil de lembrar?
William Hilsum

ponto interessante ... talvez a) salgue a palavra, b) hash com sha-256, ec) converta o resultado de hex (base-16) para base-26 (a..z) ou mesmo base-36 (0 ..9, a..z).
quack quixote

Pessoalmente, eu acho que é melhor usar uma senha única longa como "this_is! My.password, for2the3week_of30 / 11/09" ... E alterá-lo toda semana para ser um pouco diferente ... Vai dar-lhe uma fração de os problemas e mais difíceis de quebrar!
William Hilsum

isso também não é um método ruim ... entre os dois, é uma questão de gosto individual. Seu exemplo seria certamente mais fácil de lembrar.
quack quixote

1

É seguro, desde que ninguém consiga descobrir o método. É claro que isso inclui se gabar no escritório, mas também vestígios de qualquer tipo que você possa deixar para trás. Por exemplo, se você conectar um usuário aleatório à sua rede, provavelmente usará algum tipo de aplicativo do lado do cliente para gerar o hash. Se o usuário aleatório perceber que há um echo "superuser" | sha1sum no log não é muito difícil adicionar os dois juntos.

Vendo que você teria que gerar o hash externamente, muito da conveniência desaparece. Geralmente eu diria que hashing uma palavra comum pode ser uma maneira aceitável de gerar rapidamente uma chave semi-aleatória, mas a chave ainda deve ser copiada ou lembrada quando entrar para não representar uma fraqueza.

O único outro ganho que posso pensar é que a chave / frase / senha pode ser facilmente reproduzida se perdida. Se acima medidas de segurança são tomadas não vejo razão para não usar palavras em hash como chaves.


0

Este é um exemplo do mundo real segurança através da obscuridade . Onde você assume que está seguro, ou no seu caso, está mais seguro do que usuários que acabaram de digitar suas senhas sem esse processo.

O verdadeiro problema é a falsa sensação de segurança, se você usar uma senha fraca, 12345678 por exemplo, usando o resultado SHA1 como senha WPA2, resultará quase impossível quebrar o hash WPA2. Portanto, os usuários geralmente não se incomodam com a possibilidade de alguém conseguir decifrá-lo, mas, assim que alguém souber seu segredo, seu hash será quebrado facilmente. Se você escolher corretamente uma senha forte, não terá que se preocupar, mesmo que seu segredo seja comprometido, uma boa senha levará muito mais tempo para ser quebrada do que o valor que o invasor pode esperar.

Isso nos levará à questão, é a segurança através da obscuridade tão ruim assim? IMHO sim, é apenas por causa da falsa sensação de segurança, o mesmo sentido que ferramentas automatizadas de pentest de baixa qualidade trazem quando não mostram vulnerabilidades após uma varredura, ou quando um antivírus diz que um executável está limpo.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.