Seguridad de redes inalámbricas no cifradas con página de autenticación

11

Algunas redes inalámbricas, como las que ofrecen los hoteles y puntos de acceso, no están cifradas (no requieren una contraseña para conectarse) pero tienen una página web de autenticación. Por ejemplo, se conecta a una red de aeropuerto no segura y le solicita que inicie sesión con las credenciales que recibió cuando pagó con su tarjeta de crédito.

¿Qué tan seguras son este tipo de redes? Me imagino que, dado que la conexión entre el cliente y el enrutador no está encriptada y que la autenticación no significa encriptación, sería completamente posible detectar el intercambio de datos. Pero si no está asegurado, ¿por qué tantas universidades, hoteles y puntos de acceso a aeropuertos utilizan este sistema?

    
pregunta InvalidBrainException 24.10.2011 - 07:47
fuente

2 respuestas

5

La página donde ingresas tus datos de inicio de sesión probablemente está protegida con HTTPS. Siempre que el HTTPS no se vea comprometido, los datos de inicio de sesión en sí deberían ser bastante seguros. Si no se puede encontrar un HTTPS, definitivamente no le daré detalles de la tarjeta de crédito ni nada similar (aunque un código de inicio de sesión desechado comprado en el lobby del hotel no es un gran riesgo; en el peor de los casos, pierde parte del crédito que compró).

Tenga en cuenta que el cifrado inalámbrico por sí solo no proporciona mucha seguridad en este escenario: WPA2 y sus hermanos tienen la intención de evitar el acceso no autorizado a la red, pero dado que las credenciales de acceso son las mismas para todas las máquinas, no existe. Para permitir el uso selectivo de máquinas individuales (las direcciones MAC se pueden falsificar fácilmente), sus credenciales en una red de hotel cifrada seguirán siendo visibles para todos los demás en la misma red inalámbrica. Evitaría que alguien escuche en su conversación un intruso silencioso (pasivo) desde fuera de la red.

    
respondido por el tdammers 25.10.2011 - 11:08
fuente
3

Sería correcto al pensar que es muy probable que una conexión no cifrada que permita el inicio de sesión a través de redes inalámbricas sea insegura.

En cuanto a por qué lo hacen, yo diría que bien podría ser una combinación de falta de conocimiento de los riesgos planteados, sin incentivos para implementar mitigaciones, con un bajo impacto potencial de una violación.

Por ejemplo, si decimos que las credenciales proporcionadas por la institución son válidas solo para ese propósito (mediante el acceso inalámbrico comprado), si un atacante las compromete, el límite probable de la pérdida es que el acceso inalámbrico, no necesariamente un gran cantidad. Si esto sucede con poca frecuencia, el costo potencial general podría ser menor que el costo de implementar la contramedida (encriptación).

Si la institución tenía un gran número de incidentes hasta el punto en que los usuarios legítimos comenzaron a quejarse (suponiendo que el compromiso les hace perder el acceso), es probable que tengan un incentivo para proporcionar el cifrado para proteger las credenciales a través de la red inalámbrica.

    
respondido por el Rоry McCune 24.10.2011 - 13:04
fuente

Lea otras preguntas en las etiquetas