Wi-FI Protected Setup (WPS) jest niezabezpieczony: oto powód, dla którego należy go wyłączyć

WPA2 z silnym hasłem jest bezpieczne, o ile wyłączysz WPS. Znajdziesz te porady w przewodnikach dotyczących zabezpieczenia sieci Wi-Fi w Internecie. Wi-Fi Protected Setup to niezły pomysł, ale używanie go jest błędem.

Twój router prawdopodobnie obsługuje WPS i jest prawdopodobnie włączony domyślnie. Podobnie jak UPnP, jest to niezabezpieczona funkcja, która sprawia, że ​​twoja sieć bezprzewodowa jest bardziej podatna na ataki.

Co to jest Wi-Fi Protected Setup?

Większość użytkowników domowych powinna korzystać z WPA2-Personal, znanej również jako WPA2-PSK. "PSK" oznacza "klucz wstępny". Skonfigurujesz hasło do sieci bezprzewodowej na routerze, a następnie zapewnisz to samo hasło na każdym urządzeniu podłączonym do sieci Wi-Fi. Zasadniczo daje to hasło, które chroni sieć Wi-Fi przed nieautoryzowanym dostępem. Router uzyskuje klucz szyfrujący z hasła, którego używa do szyfrowania ruchu w sieci bezprzewodowej, aby zapewnić, że osoby bez klucza nie będą mogły go podsłuchać.

Może to być trochę niewygodne, ponieważ musisz wprowadzić hasło w każdym nowym urządzeniu, które łączysz. Utworzono Wi-Fi Protected Setup (WPS), aby rozwiązać ten problem. Po nawiązaniu połączenia z routerem z włączoną funkcją WPS zobaczysz komunikat, że możesz użyć prostszego sposobu łączenia niż wpisywania hasła Wi-Fi.

Dlaczego konfiguracja chroniona przez Wi-Fi jest niepewna

Istnieje kilka różnych sposobów wdrożenia konfiguracji chronionej przez Wi-Fi:

KOŁEK: Router ma ośmiocyfrowy kod PIN, który należy wprowadzić na urządzeniach w celu nawiązania połączenia. Zamiast sprawdzać cały ośmiocyfrowy kod PIN jednocześnie, router sprawdza cztery pierwsze cyfry oddzielnie od czterech ostatnich cyfr. To sprawia, że ​​numery WPS PIN są bardzo łatwe do "brute force" poprzez zgadywanie różnych kombinacji. Istnieje tylko 11 000 możliwych kodów czterocyfrowych, a gdy oprogramowanie typu brute force otrzyma pierwsze cztery cyfry w prawo, atakujący może przejść do pozostałych cyfr. Wiele ruterów konsumenckich nie traci czasu po podaniu niewłaściwego kodu PIN WPS, umożliwiając atakującym odgadywanie w kółko. Kod PIN WPS może być wymuszony brutalnie w ciągu około jednego dnia. [Źródło] Każdy może użyć oprogramowania o nazwie "Reaver", aby złamać PIN WPS.

Push-Button-Connect: Zamiast wpisywać kod PIN lub hasło, możesz po prostu nacisnąć fizyczny przycisk na routerze po próbie połączenia. (Przycisk może być również przyciskiem oprogramowania na ekranie konfiguracji). Jest to bezpieczniejsze, ponieważ urządzenia mogą łączyć się z tą metodą tylko przez kilka minut po naciśnięciu przycisku lub po podłączeniu jednego urządzenia. Nie będzie ona aktywna i będzie dostępna do wykorzystania przez cały czas, tak jak PIN WPS. Łączenie za pomocą przycisku wydaje się w dużej mierze bezpieczne, a jedyną luką jest to, że każdy, kto ma fizyczny dostęp do routera, może nacisnąć przycisk i połączyć się, nawet jeśli nie znał hasła Wi-Fi.

PIN jest obowiązkowy

Chociaż połączenie za pomocą przycisku jest zapewne bezpieczne, metoda uwierzytelniania PIN jest obowiązkową, podstawową metodą, którą muszą obsługiwać wszystkie certyfikowane urządzenia WPS. Zgadza się - specyfikacja WPS nakazuje urządzeniom wdrażanie najbardziej niezabezpieczonej metody uwierzytelniania.

Producenci routerów nie mogą naprawić tego problemu bezpieczeństwa, ponieważ specyfikacja WPS wymaga niezabezpieczonej metody sprawdzania PIN-ów. Każde urządzenie implementujące Wi-Fi Protected Setup zgodnie ze specyfikacją będzie narażone na atak. Sama specyfikacja nie jest dobra.

Czy możesz wyłączyć WPS?

Istnieje kilka różnych typów routerów.

• Niektóre routery nie pozwalają wyłączyć WPS, nie udostępniając żadnej opcji w ich interfejsach konfiguracyjnych.
• Niektóre routery zapewniają opcję wyłączenia WPS, ale ta opcja nie działa, a WPS jest nadal włączony bez Twojej wiedzy. W 2012 roku ta wada została znaleziona w "każdym punkcie dostępowym Linksys i Cisco Valet ... przetestowanym." [Źródło]
• Niektóre routery umożliwiają wyłączenie lub włączenie WPS, nie oferując wyboru metod uwierzytelniania.
• Niektóre routery umożliwiają wyłączenie uwierzytelniania WPS opartego na kodzie PIN przy jednoczesnym korzystaniu z uwierzytelniania za pomocą przycisku.
• Niektóre routery w ogóle nie obsługują WPS. Są to prawdopodobnie najbezpieczniejsze.

Jak wyłączyć WPS

Jeśli twój router pozwala na wyłączenie WPS, prawdopodobnie znajdziesz tę opcję w Wi-FI Protected Setup lub WPS w internetowym interfejsie konfiguracyjnym.

Powinieneś przynajmniej wyłączyć opcję uwierzytelniania opartą na kodzie PIN. Na wielu urządzeniach możesz wybrać tylko włączenie lub wyłączenie WPS. Wybierz, aby wyłączyć WPS, jeśli jest to jedyny wybór, jaki możesz wybrać.

Martwilibyśmy się, że włączymy WPS, nawet jeśli opcja PIN wydaje się być wyłączona. Biorąc pod uwagę straszliwą historię producentów routerów, jeśli chodzi o WPS i inne niezabezpieczone funkcje, takie jak UPnP, czy nie jest możliwe, aby niektóre implementacje WPS nadal udostępniały uwierzytelnianie oparte na kodzie PIN nawet wtedy, gdy wydawało się, że jest wyłączone?

Oczywiście teoretycznie można być bezpiecznym przy włączonej funkcji WPS, o ile wyłączono uwierzytelnianie oparte na kodzie PIN, ale po co podejmować ryzyko? Wszystko, co WPS naprawdę robi, pozwala na łatwiejsze łączenie się z Wi-Fi. Jeśli utworzysz hasło, które łatwo zapamiętasz, będziesz mógł się połączyć równie szybko. I to jest tylko problem za pierwszym razem - po podłączeniu urządzenia raz, nie powinieneś robić tego ponownie. WPS jest bardzo ryzykowny w przypadku funkcji oferującej tak małe korzyści.

Image Credit: Jeff Keyzer na Flickr