חוקרים מפצחים סיסמאות נקודה חמה אישית

אם אתה משתמש ב- Hotspot אישי באייפון כדי להגדיר נקודת גישה אלחוטית, זכור ליצור ביטוי סיסמא משלך במקום להסתמך על ביטוי הסיסמה שנוצר אוטומטית.

צוות מדעני מחשבים מאוניברסיטת ארלנגן בגרמניה הצליח לפצח את הסיסמאות שנוצרו אוטומטית על ידי גנרטור ביטוי הסיסמה המובנה תוך פחות מדקה, על פי "דוח טכני" שפרסם החודש האוניברסיטה. השעה בפועל לפיצוח ביטוי הסיסמה - באמצעות מערך חסון עם ארבעה כרטיסים גרפיים חזקים למדי - הייתה רק 24 שניות, לפי העיתון.

Personal Hotspot, תכונה זמינה במכשירי iOS עם תמיכה 3G, מאפשרת למשתמשים להגדיר נקודת גישה Wi-Fi למכשירים אחרים להתחבר אליהם. נניח שאתה נמצא בכנס, בפגישה או בבית קפה ורק צריך להיכנס לאינטרנט עם המחשב הנייד שלך ברשת מאובטחת. ניתן לאפשר נקודה חמה אישית עם משפט סיסמה של WPA ליצירת רשת אלחוטית מאובטחת שאליה יכולים להתקנים מכשירים אחרים. החוקרים הבינו כיצד לפצח את ביטויי הסיסמה שנוצרו באופן אוטומטי.

"אם לוקחים בחשבון את האופטימיזציות שלנו, אנו יכולים כעת להראות שאפשר לתוקף לחשוף סיסמת ברירת מחדל של משתמש נקודה חמה ב- iOS תוך מספר שניות, " כתבו בעיתונם אנדראס קורץ, פליקס פריילינג ודניאל מץ.

השלכות מחקריות

המדענים הביעו את הזמן שייקח לתוקף פוטנציאלי לתפוס את לחיצת היד ארבע כיוונית שנשא ומתן בכל פעם שמכשיר שמאפשר גישה אלחוטית מתחבר בהצלחה לרשת WPA2 (Wi-Fi Protected Access 2). "תוקף צריך רק ללכוד לחיצת יד לאימות WPA2 ולפצח את המפתח המשותף מראש באמצעות המילון המותאם שלנו", כתבו קורץ, פריילינג ומץ.

אם אתה משתמש בתכונת הנקודה החמה באייפון ובאייפד שלך כדי לשתף קישוריות לאינטרנט לנייד עם מכשירים אחרים המאפשרים אלחוטי, שימו לב. כל נקודת ביטוי הסיסמה היא להגן על הרשת מפני הרחקת תוקפים פוטנציאליים שנמצאים בטווח הרשת. אבל אם הם יכולים לזהות את המפתח, הם יכולים גם להתחבר למוקד החם (ולהשתמש ברוחב הפס שלך), לפקח על פעילות הרשת שלך, או להפעיל התקפות שונות בין אמצע אמצע כאשר נתוני רשת עוברים בין המכשירים המחוברים לבין אייפון.

פול דוקלין, מומחה אבטחה בסופוס, כתב בבלוג Naked Security, "בחירת ביטוי הסיסמה עבור נקודה חמה אישית חשובה כמו ביטוי הסיסמה שבחרת לנתב ה- Wi-Fi הקבוע שלך בבית.

משפטים לא כל כך אקראיים

אפל מייצרת מחרוזת "ניתנת לביטוי" של בין ארבע לשש תווים, ומוסיפה מספר אקראי בן ארבע ספרות בסוף המחרוזת כדי ליצור את ביטוי הסיסמה של הנקודה החמה, אמרו החוקרים. התברר כי את כל המילים שנוצרו במהלך המחקר שלהן ניתן היה למצוא גם ברשימת מילים ששימשה את משחק Scrabble בקוד פתוח. החוקרים לקחו 49 דקות בלבד על מחשב נייד עם כרטיס גרפי יחיד כדי לעבור על כל צירופי משפט הסיסמא האפשריים באמצעות רשימת מילים זו.

לאחר שקטלגו את הסיסמאות שנוצרו על ידי ה- Hotspot האישי בכ -250, 000 מקרים, החוקרים קבעו כי אפל משתמשת רק ב -1, 842 מילים שונות כמחרוזת הבסיס כדי ליצור את ביטויי הסיסמה. פירוש הדבר היה כי ניתן היה לחפש פחות מ -18.5 מיליון שילובי משפט-סיסמה אפשרי, על פי העיתון.

"אמנם מחולל ביטוי הסיסמה האוטומטי עבור iOS עשוי ליצור רושם של 'אקראיות ניתנת לביטוי', אך למעשה הוא נותן תחושת ביטחון שגויה מכיוון שהוא צפוי מדי", כתב דוקלין.

בחר משפטים משלך

בעוד שסיסמאות אקראיות באמת יכולות להיות קשות עבור המשתמש הממוצע להתמודד איתן על בסיס קבוע, אם אפל אפילו הייתה זורקת אותיות גדולות וקטנות יחד עם תווים מיוחדים לגנרטור ביטוי הסיסמה, המיתרים שנוצרו היו לוקחים יותר זמן ומשאבים כדי על פי החוקרים, סדק מאשר מה שנוצר כיום.

"בחר ביטוי סיסמא משלך, והפוך את זה למצב טוב, כשאתה משתמש בנקודה החמה האישית של iOS, " המליץ ​​דוקלין.

עם זאת, בעיית משפט הביטוי החלש אינה מוגבלת רק למכשירי iOS, הזהירו החוקרים. Windows Phone 8 של מיקרוסופט מייצר מספר שמונה ספרות כסיסמת ברירת המחדל, ובהתאם למוביל, מכשירי אנדרואיד מסוימים עשויים גם ליצור ביטויים בסיסיים שקל לפצח אותם.

נקודה חמה אישית מאפשרת גם לבעלי האייפון לפקח על כמה אנשים מחוברים בפועל לרשת, ולכן כדאי ממש לשים לב לכל מבקרים אקראיים שיש לכם. ותמיד בחר משפט-משפט משלך, והפוך אותו לחזק, כשאתה מגדיר את נקודה החמה האישית שלך.

החוקרים זיהו עשר מילים, שכללו "suave", "subbed" ו- "Headed" שהיו בסבירות גבוהה פי עשרה להיבחר משפט הסיסמה מאשר לאחרים, על פי העיתון.