¿Recomendar longitud para Wi-Fi PSK?

24

Actualmente tengo una red configurada con cifrado WPA2 y AES, la contraseña tiene 8 caracteres de largo, pero se generó de forma aleatoria y no contiene palabras del diccionario. Sin embargo, me preocupa el aumento del poder de las computadoras y su capacidad para romper los apretones de manos, por lo que estaba considerando aumentar la longitud.

Soy consciente de que puedo subir a 63 caracteres si soy extremadamente paranoico, pero desafortunadamente, tengo que escribir esta contraseña en los teléfonos Android y otros dispositivos, por lo que prefiero que sea razonablemente corto para permitir que sea Fácil de escribir.

¿Sería suficiente una contraseña aleatoria de 16 caracteres para asegurar una red encriptada WPA2? ¿Cuál es la recomendación actual para la longitud de las contraseñas, especialmente para redes inalámbricas y qué longitud de contraseña sería suficiente para proteger mi red contra un ataque estándar?

    
pregunta Concrete Donkey 04.06.2012 - 22:57
fuente

6 respuestas

23

Sí, 16 caracteres es más que suficiente , si se generan de forma aleatoria utilizando un PRNG de fuerza criptográfica. Si usa minúsculas, mayúsculas y dígitos, y si lo genera de forma verdaderamente aleatoria, entonces una contraseña de 16 caracteres tiene 95 bits de entropía. Eso es más que suficiente. En realidad, 12 caracteres es suficiente ; eso le da 71 bits de entropía, que también es más que suficiente para la seguridad contra todos los ataques que los atacantes podrían intentar atacar su contraseña.

Una vez que su contraseña tenga 12 caracteres o más, es muy poco probable que la contraseña sea el enlace más débil de su sistema. Por lo tanto, no tiene mucho sentido elegir una contraseña más larga. Veo personas que recomiendan usar una contraseña de 60 caracteres, pero no creo que haya una base racional para hacerlo. Mi opinión es que la facilidad de uso es muy importante: si hace que el mecanismo de seguridad sea demasiado difícil de usar, la gente se molestará y puede que sea más renuente a usarlo en el futuro, lo cual no es bueno. Un mecanismo seguro que no se usa no le hace ningún bien a nadie. Por eso prefiero elegir una contraseña más corta, como 12 caracteres o 16 caracteres de longitud, ya que es perfectamente adecuada y más utilizable que una monstruosa bestia de 60 caracteres.

Tenga cuidado en cómo elige la contraseña. Debe utilizar un PRNG criptográficamente fuerte, como /dev/urandom . Por ejemplo, aquí hay un script simple que uso en Linux:

#!/bin/sh
# Make a 72-bit password (12 characters, 6 bits per char)
dd if=/dev/urandom count=1 2>/dev/null | base64 | head -1 | cut -c4-15

No intentes elegir contraseñas por ti mismo. Las contraseñas elegidas por el hombre son generalmente más fáciles de adivinar que una contraseña verdaderamente aleatoria.

Una advertencia muy importante: también hay otros problemas, más allá de la longitud de la contraseña. Es muy importante que desactive WPS , ya que WPS tiene agujeros de seguridad importantes . Además, te recomiendo que uses WPA2; evita el WPA-TKIP y nunca uses WEP.

    
respondido por el D.W. 05.06.2012 - 22:30
fuente
10

Esta pregunta se ha formulado muchas veces antes, una contraseña de 12 caracteres con números, signos, letras mayúsculas y minúsculas llevará mucho tiempo a la fuerza bruta. Si su contraseña no está presente en un diccionario, entonces deberá usar un ataque de fuerza bruta. Podemos hacer una estimación de la cantidad de contraseñas probadas:

Si tiene 94 caracteres posibles (ASCII) y su contraseña tiene una longitud de 12 caracteres. Entonces tendrás:

94^12 = 475 920 314 814 253 376 475 136 possibilities

Con una GPU moderna (encontré esto en el hardware de Tom):

Puedes obtener alrededor de 215 000 conjeturas por segundo. Entonces, si miramos cuánto tiempo tomará:

475920314814253376475136/215000/3600/24/365/1000= 70190000

Milenios para adivinar su contraseña (en realidad la mitad de esa cantidad estadísticamente).

    
respondido por el Lucas Kauffman 05.06.2012 - 01:12
fuente
2

Escribí un pequeño script en Perl para ti en la parte inferior. Sin embargo, deberías poder interpretarlo y obtener tu respuesta con una calculadora.

Recuerde que si su contraseña está en un diccionario o es lo suficientemente corta como para producir tablas Rainbow, la fuerza efectiva es mucho más débil que de lo contrario se calcularía. Benchmark PBKDF2 para determinar qué tan rápido se puede probar una contraseña (Lucas señala 215,000 con un hardware de gráficos pesados). Tenga en cuenta que las tablas Rainbow serán un factor si tiene un nombre de SSID común ("linksys"), pero no lo será si tiene algo mucho más oscuro.

#!/usr/bin/perl
#Number of possible ASCII characters.
#All lowercase letters is 26, upper and lower case is 52, numbers adds 10, etc.
#Assume equal weighting and distribution.

$charRange = 0;
$length = 0;

$entropy = log($charRange)/log(2);

#Operations per second -- how fast a password can be tested
#using the given algorithm

$opspersec = 0;

$strength = $entropy * $length / $opspersec / 2;

print "On average, it will take $strength seconds to crack your password."
    
respondido por el Jeff Ferland 05.06.2012 - 16:21
fuente
2

Realmente no hay una respuesta única para esto. En pocas palabras, todo esto se reduce a esto: si desea un equilibrio adecuado de seguridad y facilidad de uso que sea adecuado para usted , haga que la contraseña sea lo más larga y compleja posible.

Para mí, personalmente, no tengo reparos en configurar un PSK de 63 caracteres generado aleatoriamente en mis puntos de acceso. Sí, puede ser difícil entrar en dispositivos inteligentes y demás. Pero lo que sigo recordando con esto es que solo necesito ingresar una vez por dispositivo . Agregar nuevos dispositivos a mi red es una ocurrencia relativamente rara e insignificante, en comparación con la cantidad de tiempo que uso la red y la mejora de seguridad de una contraseña casi irrompible.

Si no puede vivir con la introducción de una contraseña de 63 caracteres generada de forma aleatoria una vez por dispositivo en su red, redúzcala hasta que encuentre algo que sea más fácil de digerir. Tal vez encuentre una manera sensata de hacer una contraseña larga y aparentemente aleatoria que realmente tenga sentido para usted. Dependiendo de lo lejos que quiera ir para proteger su red, es posible que también desee considerar las adiciones de defensa en profundidad, como el filtrado de direcciones MAC, la partición de la red (es decir, el firewall entre Wi-Fi y la red LAN) y la VPN. / p>

En cuanto a las recomendaciones generales de contraseña (Wi-Fi y otras), he aquí mi sugerencia:

  • Mínimo de 15 caracteres.
    • Muchos estándares más antiguos dicen 8, la mayoría de los nuevos estándares dicen 12, y algunos incluso recomiendan 20 o más.
    • Digo 15 como mínimo, porque obliga a las versiones anteriores de Windows a no almacenar el hash LANMAN inseguro.
  • Usa los 4 tipos de caracteres.
    • letras mayúsculas
    • letras minúsculas
    • Números
    • símbolos
  • Evite incluir palabras reales o variaciones simples de palabras en su contraseña.
    • "contraseña"
    • "P @ $$ w0rd"
    • etc.
  • No escriba sus contraseñas ni las almacene en archivos de texto simple.
  • No comparta sus contraseñas ni reutilice contraseñas de alta sensibilidad en múltiples sitios.
respondido por el Iszi 05.06.2012 - 15:55
fuente
0

Referencia xkcd obligatoria.

Lo que realmente importa es cuánta entropía contiene su contraseña. El problema es "la entropía en comparación con qué"? Si su contraseña está en el diccionario de 100 palabras del atacante, entonces tiene menos de 8 bits de entropía, incluso si utiliza una amplia variedad de tipos de caracteres, por ejemplo. Pa $$ w0rd. La regla general que escuché es que el inglés tiene alrededor de 3 bits de entropía por letra, por lo que si no haces algo estúpido, entonces deberías estar de acuerdo con ciel (64/3) = 22 letras.

En cualquier caso, 8 caracteres no es suficiente, como D.W. explicado.

    
respondido por el Major Major 06.06.2012 - 11:54
fuente
0

Hay un mínimo de 2 o 3 maneras en que me ocuparía de esto.

Si los datos en la red están protegidos por algún tipo de regulación (HIPAA, PCI, etc.), me exageraré y haré todo esto. Estoy seguro de que hay más, pero eso es todo lo que puedo pensar por fuera de mi mente.

  1. Todos los personajes que puedas sufrir.
  2. Apague WPS ya que Reaver puede resolver esto en aproximadamente 10 horas.
  3. Realice encuestas inalámbricas para todos sus puntos de acceso y reduzca la configuración de energía para que no pueda recibir la señal desde fuera del edificio. (Utilizo el analizador inalámbrico para Android en mi teléfono o inSSIDER www.metageek.net/products/inssider/ para su computadora portátil)
  4. Bloquee las direcciones MAC (aunque se pueden falsificar, ayudaría a disuadir a los skiddies)
  5. echa un vistazo a enlace que tienen algunas teorías interesantes sobre seguridad adicional para WEP / WPA.
  6. Audite su acceso a la red específicamente, mirando los intentos de acceso y uso de una ACL para no permitir más de X intentos para intentar conectarse.
  7. no emita su SSID, de nuevo, esto evitará que los niños de secuencias de comandos intenten acceder a su red.

¿Cuál es la marca / modelo de su enrutador?

    
respondido por el Brad 05.06.2012 - 20:55
fuente

Lea otras preguntas en las etiquetas