21Jul
WPA2 met een sterk wachtwoord is beveiligd zolang u WPS uitschakelt. U vindt dit advies in handleidingen voor het beveiligen van uw wifi op internet. Wi-Fi Protected Setup was een leuk idee, maar het gebruik ervan is een vergissing.
Uw router ondersteunt waarschijnlijk WPS en is waarschijnlijk standaard ingeschakeld. Net als UPnP is dit een onveilige functie die uw draadloze netwerk kwetsbaarder maakt voor aanvallen.
Wat is Wi-Fi Protected Setup?
De meeste thuisgebruikers zouden WPA2-Personal moeten gebruiken, ook bekend als WPA2-PSK.De "PSK" staat voor "pre-shared key". U stelt een draadloze wachtwoordzin op uw router in en geeft vervolgens diezelfde wachtwoordzin op elk apparaat dat u verbindt met uw WiFi-netwerk. Dit geeft u in feite een wachtwoord dat uw Wi-Fi-netwerk beschermt tegen ongeoorloofde toegang. De router leidt een coderingssleutel af uit uw wachtwoordzin, die wordt gebruikt om uw draadloze netwerkverkeer te coderen om ervoor te zorgen dat mensen zonder de sleutel het niet kunnen afluisteren.
Dit kan een beetje lastig zijn, omdat je je wachtwoordzin moet invoeren voor elk nieuw apparaat dat je aansluit. Wi-Fi Protected Setup( WPS) is gemaakt om dit probleem op te lossen. Wanneer u verbinding maakt met een router waarop WPS is ingeschakeld, ziet u een bericht dat u een gemakkelijkere manier kunt gebruiken om verbinding te maken in plaats van uw wifi-wachtwoordzin op te geven.
Waarom Wi-Fi Protected Setup onveilig is
Er zijn verschillende manieren om Wi-Fi Protected Setup te implementeren:
PIN : De router heeft een achtcijferige PIN die u op uw apparaten moet invoeren om verbinding te maken. In plaats van de volledige achtcijferige pincode tegelijkertijd te controleren, controleert de router de eerste vier cijfers afzonderlijk van de laatste vier cijfers. Dit maakt WPS-pincodes heel gemakkelijk om "brute kracht" te krijgen door verschillende combinaties te raden. Er zijn slechts 11.000 mogelijke viercijferige codes, en zodra de brute force-software de eerste vier cijfers goed krijgt, kan de aanvaller doorgaan naar de rest van de cijfers. Veel consumentenrouters hebben geen time-out nadat een verkeerde WPS-pincode is verstrekt, waardoor aanvallers steeds opnieuw kunnen raden. Een WPS-pincode kan binnen ongeveer een dag bruut worden geforceerd.[Bron] Iedereen kan de software genaamd "Reaver" gebruiken om een WPS-pincode te kraken.
Push-Button-Connect : in plaats van een pincode of wachtwoordzin in te voeren, kunt u eenvoudigweg op een fysieke knop op de router drukken nadat u verbinding probeert te maken.(De knop kan ook een softwareknop zijn op een instellingsscherm.) Dit is veiliger, omdat apparaten maar een paar minuten verbinding kunnen maken met deze methode nadat de knop is ingedrukt of nadat een enkel apparaat verbinding heeft gemaakt. Het is niet actief en beschikbaar om de hele tijd te exploiteren, zoals een WPS-pincode is. Push-button-connect lijkt grotendeels veilig, met als enige kwetsbaarheid dat iedereen met fysieke toegang tot de router op de knop kan drukken en verbinding kan maken, zelfs als ze de wifi-wachtwoordzin niet kenden.
PIN is verplicht
Hoewel push-button-connect aantoonbaar veilig is, is de PIN-authenticatiemethode de verplichte basislijnmethode die alle gecertificeerde WPS-apparaten moeten ondersteunen. Dat klopt - de WPS-specificatie vereist dat apparaten de meest onveilige verificatiemethode moeten implementeren.
Routerfabrikanten kunnen dit beveiligingsprobleem niet oplossen, omdat de WPS-specificatie vraagt om de onveilige methode om pincodes te controleren. Elk apparaat dat Wi-Fi Protected Setup implementeert in overeenstemming met de specificatie, is kwetsbaar. De specificatie zelf is niet goed.
Kan je WPS uitschakelen?
Er zijn verschillende soorten routers.
- Sommige routers staan u niet toe om WPS uit te schakelen, maar bieden hiervoor geen optie in hun configuratie-interfaces.
- Sommige routers bieden een optie om WPS uit te schakelen, maar deze optie doet niets en WPS is nog steeds ingeschakeld zonder uw medeweten. In 2012 werd deze fout aangetroffen op "elk Linksys en Cisco Valet draadloos toegangspunt. .. getest." [Bron]
- Sommige routers zullen u toestaan om WPS uit te schakelen of in te schakelen, en biedt geen keuze voor authenticatiemethoden.
- Sommige routers bieden u de mogelijkheid om PIN-gebaseerde WPS-authenticatie uit te schakelen terwijl u nog steeds gebruikmaakt van drukknopverificatie.
- Sommige routers ondersteunen helemaal geen WPS.Dit zijn waarschijnlijk de veiligste.
Hoe WPS
uit te schakelen Als uw router u toestaat om WPS uit te schakelen, vindt u deze optie waarschijnlijk onder Wi-Fi Protected Setup of WPS in zijn webgebaseerde configuratie-interface.
U moet de op PIN gebaseerde authenticatieoptie op zijn minst uitschakelen. Op veel apparaten kunt u alleen kiezen of u WPS wilt in- of uitschakelen. Kies ervoor WPS uit te schakelen als dat de enige keuze is die u kunt maken.
We maken ons er een beetje zorgen over om WPS in te schakelen, zelfs als de PIN-optie lijkt te zijn uitgeschakeld. Gezien het vreselijke record van routerfabrikanten als het gaat om WPS en andere onveilige functies zoals UPnP, is het niet mogelijk dat sommige WPS-implementaties PIN-gebaseerde authenticatie nog steeds beschikbaar zouden maken, zelfs als het leek te zijn uitgeschakeld?
Natuurlijk zou je in theorie veilig kunnen zijn met WPS ingeschakeld zolang PIN-gebaseerde authenticatie was uitgeschakeld, maar waarom het risico nemen? Het enige wat WPS echt doet, is dat je gemakkelijker verbinding kunt maken met wifi. Als u een wachtwoordzin maakt die u gemakkelijk kunt onthouden, moet u net zo snel verbinding kunnen maken. En dit is slechts een probleem de eerste keer - als je eenmaal een apparaat eenmaal hebt verbonden, zou je het niet nog een keer hoeven doen. WPS is erg riskant voor een functie die zo'n klein voordeel biedt.
Image Credit: Jeff Keyzer op Flickr