Schwach passwordEdit
Pre-Shared Key WPA und WPA2 bleiben anfällig für Passwort-Cracking-Angriffe, wenn Benutzer auf ein schwaches Passwort oder Passphrase verlassen. WPA-Passphrase-Hashes werden aus dem SSID-Namen und seiner Länge ausgesät; Rainbow-Tabellen existieren für die Top 1,000 Netzwerk-SSIDs und eine Vielzahl gängiger Passwörter, die nur eine schnelle Suche erfordern, um das Knacken von WPA-PSK zu beschleunigen.
Das Brute-Forcing einfacher Passwörter kann mit der Aircrack Suite versucht werden, beginnend mit dem Vier-Wege-Authentifizierungs-Handshake, der während der Assoziation oder periodischen erneuten Authentifizierung ausgetauscht wird.,
WPA3 ersetzt kryptografische Protokolle, die für die Offline-Analyse anfällig sind, durch Protokolle, die für jedes erratene Passwort eine Interaktion mit der Infrastruktur erfordern, und setzt der Anzahl der Vermutungen angeblich zeitliche Grenzen. Konstruktionsfehler in WPA3 ermöglichen es Angreifern jedoch, Brute-Force-Angriffe plausibel zu starten (siehe Dragonblood-Angriff).,
Mangel an Vorwärtsgeheimnisedit
WPA und WPA2 bieten keine Vorwärtsgeheimnis, was bedeutet, dass eine unerwünschte Person, sobald sie den vorab freigegebenen Schlüssel entdeckt, möglicherweise alle Pakete entschlüsseln kann, die mit diesem PSK verschlüsselt wurden in der Zukunft und sogar in der Vergangenheit, die vom Angreifer passiv und still gesammelt werden könnten. Dies bedeutet auch, dass ein Angreifer die Pakete anderer stillschweigend erfassen und entschlüsseln kann, wenn ein WPA-geschützter Zugangspunkt an einem öffentlichen Ort kostenlos bereitgestellt wird, da sein Passwort normalerweise für jeden an diesem Ort freigegeben wird., Mit anderen Worten, WPA schützt nur vor Angreifern, die keinen Zugriff auf das Passwort haben. Aus diesem Grund ist es sicherer, Transport Layer Security (TLS) oder ähnliches zusätzlich für die Übertragung sensibler Daten zu verwenden. Ab WPA3 wurde dieses Problem jedoch behoben.
WPA-Paket-spoofing und decryptionEdit
Mathy Vanhoef und Frank Piessens, erheblich verbessert die WPA-TKIP-Attacken von Erik Tews, und Martin Beck. Sie demonstrierten, wie eine beliebige Anzahl von Paketen injiziert wird, wobei jedes Paket höchstens 112 Byte Nutzlast enthält., Dies wurde durch die Implementierung eines Port-Scanners demonstriert, der mit WPA-TKIP für jeden Client ausgeführt werden kann. Zusätzlich zeigten sie, wie beliebige Pakete, die an einen Client gesendet werden, entschlüsselt werden. Sie erwähnten, dass dies verwendet werden kann, um eine TCP-Verbindung zu entführen, so dass ein Angreifer böswilliges JavaScript injizieren kann, wenn das Opfer ein website.In im Gegensatz dazu konnte der Beck-Tews-Angriff nur kurze Pakete mit größtenteils bekannten Inhalten wie ARP-Nachrichten entschlüsseln und erlaubte nur die Injektion von 3 bis 7 Paketen mit höchstens 28 Bytes. Der Beck-Tews-Angriff erfordert auch Servicequalität (wie in 802 definiert.,11e) aktiviert werden, während der Vanhoef-Piessens-Angriff dies nicht tut. Keines der Angriffe führt zur Wiederherstellung des gemeinsam genutzten Sitzungsschlüssels zwischen Client und Access Point. Die Autoren sagen, dass die Verwendung eines kurzen Rekeying-Intervalls einige Angriffe verhindern kann, aber nicht alle, und empfehlen dringend, von TKIP zu AES-basiertem CCMP zu wechseln.
Halvorsen und andere zeigen, wie der Beck-Tews-Angriff so geändert wird, dass 3 bis 7 Pakete mit einer Größe von höchstens 596 Byte injiziert werden können. Der Nachteil ist, dass ihr Angriff wesentlich mehr Zeit für die Ausführung benötigt: ungefähr 18 Minuten und 25 Sekunden., In anderen Arbeiten haben Vanhoef und Piessens gezeigt, dass, wenn WPA zum Verschlüsseln von Broadcast-Paketen verwendet wird, auch deren ursprünglicher Angriff ausgeführt werden kann. Dies ist eine wichtige Erweiterung, da wesentlich mehr Netzwerke WPA zum Schutz von Broadcast-Paketen als zum Schutz von Unicast-Paketen verwenden. Die Ausführungszeit dieses Angriffs beträgt im Durchschnitt etwa 7 Minuten, verglichen mit den 14 Minuten des ursprünglichen Angriffs von Vanhoef-Piessens und Beck-Tews.,
Die Schwachstellen von TKIP sind insofern von Bedeutung, als WPA-TKIP als äußerst sichere Kombination angesehen wurde; In der Tat ist WPA-TKIP immer noch eine Konfigurationsoption für eine Vielzahl von drahtlosen Routinggeräten, die von vielen Hardwareherstellern bereitgestellt werden. Eine Umfrage im Jahr 2013 ergab, dass 71% immer noch die Nutzung von TKIP zulassen und 19% ausschließlich TKIP unterstützen.
WPS PIN recoveryEdit
Eine schwerwiegendere Sicherheitslücke wurde im Dezember 2011 von Stefan Viehböck aufgedeckt, die WLAN-Router mit der Wi-Fi Protected Setup (WPS) – Funktion betrifft, unabhängig davon, welche Verschlüsselungsmethode sie verwenden., Die neuesten Modelle verfügen über diese Funktion und aktivieren sie standardmäßig. Viele Wi-Fi-Gerätehersteller für Verbraucher hatten Schritte unternommen, um das Potenzial schwacher Passphrasenoptionen zu beseitigen, indem alternative Methoden zur automatischen Generierung und Verteilung starker Schlüssel gefördert wurden, wenn Benutzer einem Netzwerk einen neuen WLAN-Adapter oder eine neue Appliance hinzufügen. Diese Methoden umfassen das Drücken von Tasten an den Geräten oder das Eingeben einer 8-stelligen PIN.
Die Wi-Fi Alliance standardisierte diese Methoden als Wi-Fi Protected Setup; Die PIN-Funktion führte jedoch zu einer großen neuen Sicherheitslücke., Der Fehler ermöglicht es einem Remote-Angreifer, die WPS-PIN und damit das WPA/WPA2-Passwort des Routers in wenigen Stunden wiederherzustellen. Benutzer wurden aufgefordert, die WPS-Funktion auszuschalten, obwohl dies bei einigen Routermodellen möglicherweise nicht möglich ist. Außerdem ist die PIN auf den meisten Wi-Fi-Routern mit WPS auf ein Etikett geschrieben und kann nicht geändert werden, wenn sie kompromittiert wird.
WPA3 führt eine neue Alternative zur Konfiguration von Geräten ein, denen ausreichende Benutzeroberflächenfunktionen fehlen, indem Geräte in der Nähe als adäquate Benutzeroberfläche für Netzwerkbereitstellungszwecke dienen können, wodurch die Notwendigkeit von WPS gemildert wird.,
MS-CHAPv2 und Mangel an AAA-Server CN validationEdit
Mehrere Schwächen wurden in MS-CHAPv2 gefunden, von denen einige die Komplexität von Brute-Force-Angriffen stark reduzieren und sie mit moderner Hardware machbar machen. Im Jahr 2012 wurde die Komplexität des Brechens von MS-CHAPv2 auf das Brechen eines einzelnen DES-Schlüssels reduziert, Arbeit von Moxie Marlinspike und Marsh Ray. Moxie riet: „Unternehmen, die auf die gegenseitigen Authentifizierungseigenschaften von MS-CHAPv2 für die Verbindung zu ihren WPA2 Radius-Servern angewiesen sind, sollten sofort mit der Migration zu etwas anderem beginnen.,“
Getunnelte EAP-Methoden mit TTLS oder PEAP, die den MSCHAPv2-Austausch verschlüsseln, werden häufig zum Schutz vor Ausnutzung dieser Sicherheitsanfälligkeit eingesetzt. Die vorherrschenden WPA2-Client-Implementierungen in den frühen 2000er Jahren waren jedoch anfällig für Fehlkonfigurationen durch Endbenutzer oder in einigen Fällen (z. B. Android) fehlte jede vom Benutzer zugängliche Möglichkeit, die Validierung von AAA Server Certificate CNs ordnungsgemäß zu konfigurieren. Dies erweiterte die Relevanz der ursprünglichen Schwäche in MSCHAPv2 innerhalb von MiTM-Angriffsszenarien., Unter strengeren WPA2-Konformitätstests, die neben WPA3 angekündigt wurden, muss zertifizierte Clientsoftware bestimmten Verhaltensweisen im Zusammenhang mit der Validierung von AAA-Zertifikaten entsprechen.
Hole196Edit
Hole196 ist eine Sicherheitslücke im WPA2-Protokoll, die den Shared Group Temporal Key (GTK) missbraucht. Es kann verwendet werden, um Verhalten man-in-the-middle-und denial-of-service-Angriffe. Es wird jedoch davon ausgegangen, dass der Angreifer bereits gegen Access Point authentifiziert ist und somit im Besitz der GTK ist.,
Vorhersehbaren Group Temporal Key (GTK)Bearbeiten
Im Jahr 2016 wurde gezeigt, dass die WPA-und WPA2-standards enthalten eine unsichere erklärende random number generator (RNG). Die Forscher zeigten, dass ein Angreifer bei der Implementierung des vorgeschlagenen RNG den Gruppenschlüssel (GTK) vorhersagen kann, der zufällig vom Access Point (AP) generiert werden soll. Darüber hinaus zeigten sie, dass der Besitz des GTK es dem Angreifer ermöglicht, jeglichen Datenverkehr in das Netzwerk einzuspeisen, und es dem Angreifer ermöglicht, den über das drahtlose Netzwerk übertragenen Unicast-Internetverkehr zu entschlüsseln., Sie demonstrierten ihren Angriff gegen einen Asus RT-AC51U-Router, der die MediaTek-Out-of-Tree-Treiber verwendet, die den GTK selbst generieren, und zeigten, dass der GTK innerhalb von zwei Minuten oder weniger wiederhergestellt werden kann. In ähnlicher Weise demonstrierten sie, dass die von Broadcom Access-Daemons generierten Schlüssel, die auf VxWorks 5 und höher ausgeführt werden, in vier Minuten oder weniger wiederhergestellt werden können, was sich beispielsweise auf bestimmte Versionen von Linksys WRT54G und bestimmte Apple AirPort Extreme-Modelle auswirkt. Anbieter können sich mit einem sicheren RNG gegen diesen Angriff verteidigen., Auf diese Weise ist Hostapd, das auf Linux-Kerneln ausgeführt wird, nicht anfällig für diesen Angriff, und daher weisen Router, auf denen typische OpenWRT-oder LEDE-Installationen ausgeführt werden, dieses Problem nicht auf.
KRACK attackEdit
Im Oktober 2017 wurden Details zum KRACK (Key Reinstallation Attack) Angriff auf WPA2 veröffentlicht. Es wird angenommen, dass der KRACK-Angriff alle Varianten von WPA und WPA2 betrifft; Die Auswirkungen auf die Sicherheit variieren jedoch zwischen den Implementierungen, je nachdem, wie einzelne Entwickler einen schlecht spezifizierten Teil des Standards interpretierten., Software-Patches können die Sicherheitsanfälligkeit beheben, sind jedoch nicht für alle Geräte verfügbar.
Dragonblood attackEdit
Im April 2019 wurden gravierende Konstruktionsfehler in WPA3 festgestellt, die es Angreifern ermöglichen, Downgrade-Angriffe und Seitenkanalangriffe durchzuführen, um die Passphrase Brute-Forcing zu ermöglichen sowie Denial-of-Service-Angriffe auf Wi-Fi-Basisstationen zu starten.