Seberapa amankah menggunakan hash kata sandi dari kata bahasa Inggris yang umum sebagai kunci WPA2?

5

Saya memiliki router nirkabel, dan saya ingin kata sandi yang sulit yang masih mudah diingat.

Saya datang dengan ide ini untuk mengambil MD5, SHA-1, SHA-256, atau apa pun hash dari kata bahasa Inggris yang umum, seperti "superuser" dan menggunakan hash sebagai kunci WPA2.

Sebagai contoh, katakanlah "superuser" adalah kata pilihan saya. Jika saya memilih SHA-1 memiliki hash saya, maka saya akan mengatur kunci WPA2 saya menjadi 8e67bb26b358e2ed20fe552ed6fb832f397a507d.

Apakah ini praktik yang aman? Kata-kata bahasa Inggris yang umum digunakan - dengan cara - di kunci, tetapi kunci itu sendiri sebenarnya adalah string heksadesimal yang panjang dan kompleks.

James Mishra
sumber
1
Tidak aman sekarang yang Anda sebutkan :)
RCIX

Jawaban:

4

Kecuali Anda mengungkapkan metode bagaimana Anda menghasilkan kunci "long WPA2" (yang baru saja Anda lakukan), itu hanya string heksadesimal kompleks yang biasanya cukup aman. Di sisi lain, jika seseorang tahu bahwa Anda menggunakan "kata bahasa Inggris yang umum" dan menggunakan hash dari kata itu sebagai kunci, siapa pun dapat dengan cepat membuat ulang urutan hash dari kamus dan menggunakannya sebagai meja pelangi untuk menghancurkan Anda kata sandi dengan cukup cepat.

Jika Anda mencari "kata sandi sulit yang masih mudah diingat" mengapa Anda tidak membuat frasa sandi yang lebih panjang yang berarti bagi Anda tetapi tidak mudah ditebak oleh orang lain. Itu akan membuat tabel pelangi luas dasarnya tidak berguna. Mulailah dengan frasa (yaitu urutan kata, kalimat, dll), campur dalam urutan angka yang berarti bagi Anda (hindari hari ulang tahun, nomor telepon, dll), dan buat kunci panjang yang "mudah diingat" dengan cara itu .

Robert Cartaino
sumber
Saya dengan Wil & Robert yang satu ini. Sebuah lulus frase umumnya lebih aman daripada lulus kata - hanya panjang membuat menebak frase Anda yang jauh lebih sulit.
DaveParillo
1
Saya sebagian besar setuju, kecuali untuk itu hash dari kata bahasa Inggris bukan string teks acak. Ini adalah apa itu, hash dari kata bahasa Inggris. Dengan kata lain: Metode yang diusulkan tidak memperbesar ruang utama, tetapi metode ini membuat tabel pelangi luas tidak berguna. Mengingat fakta bahwa menghasilkan meja pelangi tidak semudah itu, ini adalah hal yang baik. Untuk memperbesar ruang kunci Anda mungkin mempertimbangkan untuk mengenkripsi kata sandi Anda dengan garam.
Ludwig Weinzierl
2

Ini seaman kunci lainnya selama Anda tidak memberi tahu siapa pun.

Pada akhirnya, kunci Anda akan menggunakan 0-9, af ... yang sebenarnya hanya memberikan 16 karakter yang mungkin alih-alih hanya az yang akan memberikan 26. Oleh karena itu, jika Anda berpikir Anda pintar dan memberi tahu seseorang " Saya menggunakan SHA-1 ", Anda sebenarnya mengurangi beberapa kombinasi brute force mereka.

Secara pribadi, saya pikir Anda akan jauh lebih baik hanya memiliki kata-kata panjang yang normal dengan campuran kasus, kemudian memasukkan beberapa angka dan simbol acak.

William Hilsum
sumber
Benar, tetapi saya akan mengatakan bahwa 'melempar angka & simbol acak' tidak berkontribusi besar untuk membuatnya lebih mudah diingat. Bagaimana kalau melemparkan beberapa nomor non-acak ;-)
DaveParillo
Benar - tetapi sekali lagi, sejak kapan kunci SHA-1 mudah diingat?
William Hilsum
titik menarik ... mungkin a) garam kata, b) hash dengan sha-256, dan c) ubah hasilnya dari hex (base-16) menjadi base-26 (a..z) atau bahkan base-36 (0 ..9, a..z).
Quack quixote
Secara pribadi, saya pikir sebaiknya menggunakan kata sandi unik yang panjang seperti "this_is! My.password, for2the3week_of30 / 11/09" ... Dan ubah setiap minggu menjadi sedikit berbeda ... Akan memberi Anda sebagian kecil dari masalah dan lebih sulit untuk dipecahkan!
William Hilsum
itu bukan metode yang buruk juga ... di antara keduanya itu agak masalah selera individu. teladan Anda tentu akan lebih mudah diingat.
Quack quixote
1

Ini aman selama tidak ada yang bisa mengetahui metode ini. Ini tentu saja termasuk membual tentang hal itu di kantor, tetapi juga jejak apa pun yang Anda tinggalkan. Sebagai contoh, jika Anda ingin menghubungkan pengguna acak ke jaringan Anda, Anda mungkin akan menggunakan beberapa jenis aplikasi sisi klien untuk menghasilkan hash. Jika pengguna acak lalu melihat ada echo "superuser" | sha1sumdi dalam log, tidak terlalu sulit untuk menambahkan keduanya.

Karena Anda harus membuat hash secara eksternal, banyak kemudahan hilang. Secara umum saya akan mengatakan bahwa hashing kata umum mungkin merupakan cara yang dapat diterima untuk dengan cepat menghasilkan kunci semi-acak, tetapi kunci tersebut masih harus disalin atau diingat ketika masuk untuk tidak menimbulkan kelemahan.

Satu-satunya keuntungan lain yang dapat saya pikirkan adalah bahwa kunci / frase / kata sandi dapat dengan mudah direproduksi jika hilang. Jika langkah-langkah keamanan di atas diambil saya tidak melihat alasan untuk tidak menggunakan kata-kata hash sebagai kunci.

Arkenklo
sumber
0

Ini adalah contoh nyata dunia keamanan melalui ketidakjelasan . Di mana Anda menganggap bahwa Anda aman, atau dalam kasus Anda, bahwa Anda lebih aman, daripada pengguna yang baru saja mengetik kata sandi mereka tanpa proses ini.

Masalah sebenarnya adalah rasa aman yang salah, jika Anda menggunakan kata sandi yang lemah, 12345678 misalnya, menggunakan hasil SHA1 sebagai kata sandi WPA2, itu akan menghasilkan hampir tidak mungkin untuk memecahkan hash WPA2. Jadi para pengguna biasanya tidak peduli tentang kemungkinan siapa pun dapat memecahkannya, tetapi begitu ada yang tahu rahasia tersembunyi Anda, hash Anda akan mudah retak. Jika Anda benar-benar memilih kata sandi yang kuat, Anda tidak perlu khawatir, bahkan jika rahasia Anda disusupi, kata sandi yang baik akan membutuhkan lebih banyak waktu untuk dibobol daripada layaknya penyerang menunggu.

Itu akan membawa kita pada pertanyaan, apakah keamanan melalui ketidakjelasan seburuk itu? IMHO ya, itu hanya karena rasa aman yang salah, perasaan yang sama yang dibawa oleh alat kualitas rendah otomatis ketika mereka tidak menunjukkan kerentanan setelah pemindaian, atau ketika antivirus mengatakan bahwa executable bersih.

OPSXCQ
sumber