WPA2 със силна парола е защитена, стига да деактивирате WPS. Този съвет ще намерите в ръководства за осигуряване на Wi-Fi в цялата мрежа. Wi-Fi Protected Setup беше хубава идея, но това е грешка.
Вашият маршрутизатор вероятно поддържа WPS и вероятно е активиран по подразбиране. Подобно на UPnP, това е несигурна функция, която прави вашата безжична мрежа по-уязвима за атака.
Повечето домашни потребители трябва да използват WPA2-Personal, известен също като WPA2-PSK. "PSK" означава "предварително споделен ключ". Настройте безжичен пропуск в маршрутизатора си и след това осигурете същия пропуск за всяко устройство, което свързвате с вашата WI-Fi мрежа. Това по същество ви дава парола, която предпазва вашата Wi-Fi мрежа от неразрешен достъп. Рутерът извлича ключ за шифроване от паролата ви, който използва, за да шифрова трафика ви за безжична мрежа, за да гарантира, че хората, които нямат ключ, не могат да се подслушват.
Това може да е малко неудобно, тъй като трябва да въведете пропуск за всяко ново устройство, което свързвате. Wi-Fi Protected Setup (WPS) бе създадена, за да реши този проблем. Когато се свържете с маршрутизатор с включен WPS, ще видите съобщение, според което можете да използвате по-лесен начин за свързване, отколкото да въвеждате пропуск за Wi-Fi.
Има няколко различни начина за въвеждане на защитена с Wi-Fi настройка:
PIN: Рутерът има осемцифрен ПИН код, който трябва да въведете на устройствата си, за да се свържете. Вместо да проверява целия осемцифрен ПИН наведнъж, маршрутизаторът проверява първите четири цифри отделно от последните четири цифри. Това прави ПИН-ите WPS много лесен за "груба сила", като познават различни комбинации. Има само 11 000 възможни четирицифрени кода, а след като софтуерът за груба сила получи първите четири цифри, атакуващият може да премине към останалите цифри. Много потребителски маршрутизатори не изчакват, след като е предоставен грешен ПИН код, който позволява на атакуващите да отгатват отново и отново. ПИН кодът на WPS може да бъде грубо принуден за около един ден. [Source] Всеки може да използва софтуер, наречен "Reaver", за да пропусне WPS PIN.
Бутон-Connect: Вместо да въвеждате ПИН или парола, можете просто да натиснете физически бутон на рутера, след като се опитате да се свържете. (Бутонът може да е и софтуерен бутон на екрана за настройка.) Това е по-сигурно, тъй като устройствата могат да се свързват само с този метод само за няколко минути след натискане на бутона или след като се свържат единични устройства. Той няма да бъде активен и достъпен за експлоатация през цялото време, тъй като е WPS PIN. Push-button-connect изглежда до голяма степен сигурен, като единствената уязвимост е, че всеки, който има физически достъп до маршрутизатора, може да натисне бутона и да се свърже, дори и да не знае Wi-Fi пропуск.
Докато push-connect-connect е сигурно сигурен, методът на идентификация чрез ПИН е задължителният базов метод, който всички сертифицирани WPS устройства трябва да поддържат. Точно така - спецификацията на WPS указва, че устройствата трябва да прилагат най-несигурния метод за удостоверяване.
Производителите на маршрутизатори не могат да решат проблема със сигурността, тъй като WPS спецификацията изисква несигурен метод за проверка на ПИН кодовете. Всяко устройство, което изпълнява Wi-Fi Protected Setup в съответствие със спецификацията, ще бъде уязвимо. Самата спецификация не е добра.
Има няколко различни вида маршрутизатори там.
Ако маршрутизаторът ви позволява да деактивирате WPS, вероятно ще намерите тази опция под Wi-Fi Protected Setup или WPS в уеб интерфейса за конфигуриране.
Трябва да деактивирате поне опцията за удостоверяване въз основа на ПИН код. На много устройства ще можете да изберете дали да активирате или деактивирате WPS. Изберете дали да изключите WPS, ако това е единственият избор, който можете да направите.
Ще се притесняваме малко, че напускаме WPS, дори ако опцията ПИН се окаже забранена. Предвид ужасното впечатление на производителите на рутер, когато става въпрос за WPS и други несигурни функции като UPnP, не е възможно някои WPS реализации да продължат да правят разпознаване на базата на ПИН, дори и когато изглежда са деактивирани?
Разбира се, бихте могли теоретично да сте сигурни с включен WPS, стига да е забранено удостоверяването на базата на ПИН, но защо да поемате риска? Всички WPS наистина ви позволяват да се свързвате по-лесно с Wi-Fi. Ако създадете пропуск, който лесно можете да запомните, трябва да можете да се свързвате точно толкова бързо. И това е само въпрос за първи път - след като свържете устройство веднъж, не трябва да го правите отново. WPS е ужасно рисковано за функция, която предлага такава малка полза.
Image Credit: Джеф Кейзърър на Flickr
