2月 272013
 
シェアする

 

WPA2-PSKとは

WPA2という暗号化方式を用いたWiFi接続で
認証に事前共有鍵(Pre-Shared Key)を用います

事前共有鍵は英数字8文字から63文字

鍵がわかる人のみがアクセスできます


最高で63文字になる事前共有鍵ですが
こちらのサイトに書かれている Thomas Roth という人が
一般的に利用される事前共有鍵であれば

6分ほどで、

しかも200円未満のコスト

クラック可能である

ことを証明しました。

According to Roth, his software running on EC2 can find the average wireless password in about six minutes. At the EC2 price of 28 cents per minute, his cost for processing power was under $2 per password.

これには、Amazon.comのクラウドサービス「EC2」が利用されました。

最近(というか去年?)大はやりのクラウドサービスを利用すれば、
高性能なマシンを利用し大量のパスワードのデータを用いて認証を試みるという事が、
容易に出来る時代なのです。

なんというテクノロジーの進歩でしょう。
ブラウン管の時代は終わったのですね┐(´∀`)┌
って何か違う?w

WPA2-PSKももう安全とは言えない時代
そこまで来ているようです(-_-;)

「WPA2-PSKを超える認証方式はないのか?」

もちろうんあります!(・∀・)!


EAP(Extended Authentication Protocol)
という認証プロトコルを用いた接続方法があります。

これは、ダイヤルアップに利用されるPPP(Point-to-Point Protocol)
というプロトコルを拡張したもので、複数の認証方式が提供されています。。

今日1番言いたかったのは

↓↓↓

「EAP-PWD」という認証方式がある!

ということに今日気づいたのです!

色々と情報をあさって見たのですが
まとまったページが見つからず。。。

下記サイトぐらいしかとっつきやすくなかったのですo(TヘTo) くぅ

Secure authentication with only a password – Airheads

上記サイトでは以下の記述が有りました。

Aruba has developed a protocol called dragonfly that is resistant to dictionary attack. This protocol has been added to the 802.11 standard in the form of SAE (Simultaneous Authentication of Equals). It’s also been incorporated into an EAP method as defined in RFC 5931 (http://tools.ietf.org/html/rfc5931) as EAP-pwd.

Arubaは辞書アタックに抵抗力があるdragonflyと呼ばれるプロトコルを開発しました。このプロトコルはSAE(Simultaneous Authenticaion of Equals)として802.11規格に追加されました。このプロトコルはRFC5931(http://tools.ietf.org/html/rfc5931)で定義されているEAP-PWDにも組み入れられています。

ここで興味を引くのが EAP-PWD という認証方式。
どうやら、Simultaneous Authenticaion of Equals=同等のものを同時に認証する?ことが出来るプロトコルが組み入れられたEAP-PWDという認証方式があるらし。RFCでも定義されているが、読見込むのにはちょっとMPが少ないわたくし(;^ω^)

EAP-PWDはどうやらSAEと言うものが組み込まれた新しい認証方式で、利用者は簡単なパスワードを用いて接続ができ、かつ辞書アタックにもつよく、利用者の負担が軽減されるものらしいです。

はやくもっと詳しく知りたいなぁ。。

 

このエントリーをはてなブックマークに追加

  2 コメント

  1. そのうち、パスワード管理は任意の、ではなく、完全ランダムを時間ごと(ネット銀行などのあれ)も広まるのかな。
    いろいろと問題もあるだろうけど。
    最高のセキュリティの定義は、決められた形ではなく、常に進化、変化続けている。という前提条件があるのかなー。

  2. chappyさん!
    コメントありがとうございます(^o^)

    EAP-なにがし(EAP-MD5を除く)認証を使うと、WiFi接続時の暗号化に利用されるWEPキーが自動的に定期的に再作成されるみたい。←ここら辺要勉強(笑)

    MacアドレスでWiFiアクセスポイントへのアクセス可能端末を制限したとしても、Macアドレスは詐称できるし、SSIDをステルスとしてアクセスポイントのスキャンに引っかからないようにしても、総当たり攻撃があればわかってしまうという(・・;)

    通信が傍受されることが問題視されるなら、VPNという通信を暗号化してしまう方法もあるし、WiFiアクセスポイントの利用を防ぎたいなら今のところ電子証明書を照らし合わせる方式の認証(EAP-TLS、EAP-TTLSなど)がBestかなぁ(ここも要勉強)。。

    そんな中、WiFiアクセスポイント利用者がパスワードだけでアクセスでき、かつ総当たり攻撃にも抵抗力があるというEAP-PWDがどんなものかと、全貌が明らかになるのが楽しみです!^o^

コメント大歓迎!質問も受け付けておりますヽ(*´∀`)ノ