"Íslenskur sérfræðingur fann gloppu"
Sent: Fös 24. Feb 2012 02:30
http://mbl.is/frettir/taekni/2012/02/23 ... nn_gloppu/" onclick="window.open(this.href);return false;
Tölvu og tækniáhuga samfélagið.
https://gamma.vaktin.is/
WPA Enterprise, Also referred to as WPA-802.1X mode, and sometimes just WPA (as opposed to WPA-PSK). It is designed for enterprise networks and requires a RADIUS authentication server. This requires a more complicated setup, but provides additional security (e.g. protection against dictionary attacks on short passwords). An Extensible Authentication Protocol (EAP) is used for authentication, which comes in different flavors.
Nú spyr ég eins og kjáni, hvers bættari er hakkari að hafa dulkóðað lykilorð?Frétt segir skrifaði:þá fæ ég notendanafn þitt og dukóðað lykilorð (mschapv2) sent án fyrirhafnar.
Ég var einmitt að velta því fyrir mér. Ætli hann gæti laumað sér inná þetta tiltekna WPA Enterprise net með því að þykjast vera hinn gæinn? Er mschapv2 sterk dulkóðun?Daz skrifaði:Nú spyr ég eins og kjáni, hvers bættari er hakkari að hafa dulkóðað lykilorð?Frétt segir skrifaði:þá fæ ég notendanafn þitt og dukóðað lykilorð (mschapv2) sent án fyrirhafnar.
Það hlaut að vera. Þá er þetta bara vesen fyrir fólk með auðveld lykilorð. Sem er reyndar hluti af pitchinu við þetta Enterprise dót (að brute force/dictionary attack sé erfitt til ómögulegt). Eða var það ekki rétt skilið hjá mér?Stebet skrifaði:Eins og ég skil þetta er ekki hægt að nota þetta til að tengjast þar sem það þarf two-way authentication (bæði client-server og server-client) til þess að tengjast og þá kemur babb í bátinn.
Það ættiStebet skrifaði:Hann hefur þá væntanlega ekki verið með flókið lykilorð á demoinu?
WPA Enterprise (wpa/wpa2+8021.x) er alveg þokkalega algengt og eiginlega bara semi-standard hjá fyrirtækjum.Stebet skrifaði: Hættan af þessu er frekar takmörkuð þar sem það eru frekar fá fyrirtæki að nota WPA2 Enterprise að mínu viti.
Eins og dori & Gúrú benda á, þá skiptir það ekki svo miklu máli.Stebet skrifaði: Hann hefur þá væntanlega ekki verið með flókið lykilorð á demoinu?
Það var ekki verið að segja að það væri endilega "lítið mál", en út af böggum í prótócolnum þá er það "auðveldara".Daz skrifaði:Ef einhver nennir að uppfræða vitleysinginn áfram.
Þið segið að það sé lítið mál að brute-forcea passwordið þegar maður hefur það í höndum, en hvað þýðir það nákvæmlega? Er hægt að láta eitthvað forrit hamast á dulkóðaða passwordinu þangað til það er afkóðað? Hvernig er hægt að vita að það sé rétt nema prófa það? Ef það þarf að prófa það, hversu mikið betri er þessi aðferð þá en bara venjulegt "dictionary attack"? S.s. flest net myndu loka á login tilraunir eftir X mörg skipti.
Þarf ég kannski að prófa þennan mschapv2 hack kóða til að fatta þetta?