• IT-Karriere:
  • Services:

Zu simple WPA-Passwörter ruinieren WLAN-Verschlüsselung

Kurze "menschliche" Passwörter können per Wörterbuch-Attacke ausspionert werden

Nachdem die WEP-Verschlüsselung schon seit letztem Jahr als nicht mehr wirklich sicher gilt und beim Unternehmenseinsatz deshalb zusätzliche Verschlüsselungsmaßnahmen getroffen werden sollten, soll auch der WEP-Nachfolger "Wi-Fi Protected Access" (WPA) eine gravierende Schwäche haben: Werden nur kurze Passwörter auf Basis normaler Wörter eingesetzt, so reicht - auf Grund einer Schwäche in der Passwort-Eingabe von WPA-fähigen Access-Points und WLAN-Adapter - eine Wörterbuch-Attacke, um das Netz anzugreifen, ohne dass dazu ein direkter Zugriff auf WLAN notwendig ist, so Robert Moskowitz von TruSecure.

Artikel veröffentlicht am ,

Kurz gesagt können kurze textbasierte WPA-Schlüssel geknackt werden, ohne dass dazu ein Fehler im WPA-Protokoll nötig ist. Nutzt man die Standardschnittstelle für die Eintragung von WPA-Schlüsseln und wählt ein reines textbasiertes Passwort mit weniger als 20 Buchstaben, kann ein Cracker den nachfolgenden, ersten Schlüssel-Austausch belauschen und anschließend das Passwort über eine Wörterbuchattake herausfinden. Dazu soll entsprechende Software nur leicht modifiziert werden müssen, um als Werkzeug für eine " weak-WPA-key attack" dienen zu können.

Stellenmarkt
  1. Volkswagen Vertriebsbetreuungsgesellschaft mbH, Berlin, Wolfsburg
  2. Schöffel Sportbekleidung GmbH, Schwabmünchen

Schlüssel-Austausch-Nachrichten erfolgen zu Beginn einer Verbindung zwischen einem WLAN-Adapter und einem Access Point. Ein Cracker kann den Versand vom Access-Point erneut anstoßen, indem an diesen eine "Vom Netzwerk getrennt"-Nachricht gesendet wird, die einen Schlüsseltausch innerhalb von etwa 30 Sekunden erzwingt. So könne ein potenzieller Eindringling innerhalb weniger Minuten ins Netzwerk hinein und mit den benötigten Informationen wieder heraus, was deutlich leichter möglich sei als bei WEP-Sicherheitsproblemen.

Anders als bei WEP, bei dem ein noch so gut gewähltes Passwort bzw. eine Passphrase dennoch genackt werden kann, liegt das Problem Moskowitz zufolge somit einzig und allein an der Passwortlänge, der Passwortqualität und letztendlich an den entsprechenden Eingabefeldern von WPA, wobei die Bequemlichkeit der Nutzer unterstützt würde. Hardware-Hersteller müssten also lediglich bei der Eingabe rigidere Vorgaben machen, wie lang ein Passwort ist bzw. zufällige Passwörter vorschreiben oder generieren und evtl. eine Speichermöglichkeit zulassen. Das Problem der richtigen Passwortwahl ist nicht wirklich neu, im Falle von WPA jedoch recht gravierend.

Die von Robert Moskowitz verfasste technische Beschreibung der "weak-WPA-key attack" findet sich bei Wi-Fi Networking News unter dem Titel "Weakness in Passphrase Choice in WPA Interface".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Heldenfilme in 4K: Venom, Spider-Man: Far From Home, Jumanji: The Next Level, Bloodshot...
  2. 59€ (Bestpreis)
  3. 1.099€ (Bestpreis)
  4. (u. a. Super Seducer 3 - Uncensored Edition für 10,79€, Total War: Rome - Remastered für 26...

skyerjoe 25. Okt 2005

so bevor noch mehr newbies wie der goethe hier auf die idee kommen solche passes zu...

firefly3 16. Sep 2005

ähnlich wie beim Sicherheitsgurt: eingebaut ist er, anlegen muss man ihn schon selber....

matthias cornillie 17. Jun 2004

matthias cornillie 17. Jun 2004


Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /