¿Existen fallas de protocolo explotables en WPA Enterprise?

Navega tus respuestas
3

Acabo de ver este video enlace y el los autores admiten fácilmente que el título es click-bait, pero todavía me pregunto qué está pasando.

¿No debería haber una advertencia de certificado en el teléfono? (Edición: Esto puede no tener nada que ver con el protocolo y ser solo un problema del cliente. Sin embargo, podría haber habido algún otro problema que les permita falsificar un certificado válido).

¿Por qué la contraseña se recupera tan fácilmente de la respuesta de desafío? mensajes? (¿Se ha solucionado eso en WPA2?)

    
pregunta Corporal Touchy 01.12.2016 - 09:33
fuente

2 respuestas

1
  

¿No debería haber una advertencia de certificado en el teléfono?

Debería haber una advertencia pero esto depende de la implementación del lado del cliente.

Por ejemplo, en Europa hay una red inalámbrica de ámbito académico llamada eduroam que está disponible en casi todas las universidades. Eduroam está utilizando WPA2 Enterprise y correo electrónico + contraseña como credenciales. Hace un mes, el departamento de TI de las universidades locales anunció que no debería usarse eduroam desde teléfonos inteligentes porque algunos de ellos no hacen la validación del certificado correctamente, lo que los hace vulnerables a ataques como el que mencionó.

    
respondido por el davidb 01.12.2016 - 10:50
fuente
0
  

¿Existen fallas de protocolo explotables en WPA Enterprise?

es una pregunta ortogonal a

  

¿No debería haber una advertencia de certificado en el teléfono?

porque un protocolo no puede obligar a un cliente a avisar a un usuario si el certificado no es verificable.

Por lo tanto, en lo que respecta al protocolo, no tengo conocimiento de ningún defecto actual.

  

¿Por qué la contraseña se recupera tan fácilmente de los mensajes de respuesta de desafío?

Porque tiene que ser, es lo que el AP normalmente envía al servicio de autenticación para recuperar la autenticación.

    
respondido por el Marcus Müller 01.12.2016 - 11:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo Windows Active Directory verifica la identidad de una computadora? ¿Es posible investigar tanto en Arquitectura de Computadores como en Seguridad?