Missen i wpa2 är att alltså att de som tog fram standarden valde att frångå rekommendationen att ett salt ska vara slumpmässigt valt. Det felsteget innebär att användaren av ett wpa2-skyddat wi-fi-nät måste välja ett ssid för sitt nät som endera är slumpmässigt valt eller som betraktas som ”ovanligt”.
Mjuka certifikat skyddas med hjälp av den andra varianten av pbkdf, där resultatet utgör en kryptonyckel som sedan används för att dekryptera certifikatets ”privata” nyckel – pbes, password based encryption scheme.
Pbes1 används för bakåtkompatibilitet men anses inte vara säker. Pbes2 tillåter certifikatutgivaren att skydda den privata nyckeln med starkare algoritmer, till exempel aes och 3des.
TechWorlds slutsats
Lösenord och kryptonycklar skyddade med många iterationer och kryptografiska, slumpmässiga salt saktar ned knäckningsförsök, men det krävs att lösenorden är valda på ett bra sätt, alltså att de är både komplexa och långa.
Nya metoder för att forcera lösenord publiceras löpande i takt med att nya processorer, grafikkort och algoritmer blir tillgängliga. När regnbågstabeller var som mest i ropet 2007 och 2008 betraktades 160 miljoner gissningar per sekunder en hissnande siffra. Under 2012 var 320 miljarder gissningar per sekund det som gällde.
Det här har lett till att knäckning av lösenord numera är tillgängligt även för de som inte är särskilt resursstarka. Måste man ha allt för långa och komplexa lösenord så är det frågan om inte andra autentiseringslösningar är mer tilltalande för slutanvändarna. Dessutom är det ju både enklare och billigare att stjäla lösenord med trojaner jämfört med att knäcka dem. Med det kan man dra slutsatsen att lösenordens tid är förbi?
Innehållsförteckning
gpu, graphics processing unit: Processor som finns på grafikkort. Arbetar med högre grad av parallellisering än en normal processor.
hash: Envägsfunktion. Resultatet från en hash går inte att räkna baklänges till vilket indata som angetts.
krigsringare: Gammal lösning som testar olika telefonnummer för att hitta modemingångar.
lm, lanman: Det sätt som användes för att autentisera Windows 95-klienter mot ett Windowsnätverk.
mjukt certifikat: Certifikat med privat nyckel som ges ut på fil.
iteration: Variabel som anger antal gånger som lösenordet hashats eller krypterats.
ntlm, nt lan manager: Det sätt som användes för att autentisera Windows NT-klienter mot ett Windows-NT nätverk.
pbes, password based encryption scheme: Beskriver vilken algoritm som används för att kryptera en annan kryptonyckel.
pbkdf, password based key derivation function: Beskriver på vilket sätt en nyckel eller hash tas fram. Om det är nyckel som tas fram används den för att dekryptera en annan kryptonyckel via pbes.
regnbågstabell: Tabell med förberäknade hash-kedjor. Snabbar upp formering av osaltade lösenord och därmed knäckning av krypterade lösenord.
salt: Slumpmässigt värde som läggs till ett lösenord för att göra det svårare att knäcka lösenordet. Lagras i klartext tillsammans med det krypterade lösenordet.
ssid, service set identification: Nätverksidentifierare för trådlösa nätverk.
wpa2, wi-fi protected access 2: Protokoll som används för att skydda autentisering mot trådlösa nätverk.
xor, ”exclusive or”: Operation som används i binära sammanhang. Om båda invärdena är samma blir resultatet noll, annars ett.
