Video: ОБХОД ICLOUD iOS 12.4.5–14.3. БЕСПЛАТНО. Windows. (December 2024)
Als u Personal Hotspot op de iPhone gebruikt om een draadloos toegangspunt in te stellen, vergeet dan niet uw eigen wachtwoordzin te genereren in plaats van te vertrouwen op de automatisch gegenereerde wachtwoordzin.
Een team van computerwetenschappers van de Universiteit van Erlangen in Duitsland was in staat om de wachtwoorden te kraken die automatisch werden aangemaakt door de ingebouwde wachtwoordzin-generator in minder dan een minuut, volgens een "technisch rapport" dat deze maand door de universiteit werd gepubliceerd. De daadwerkelijke tijd om de wachtwoordzin te kraken - met behulp van een forse opstelling met vier redelijk krachtige grafische kaarten - was volgens het papier slechts 24 seconden.
Personal Hotspot, een functie die beschikbaar is op iOS-apparaten met 3G-ondersteuning, stelt gebruikers in staat een Wi-Fi-toegangspunt in te stellen waarmee andere apparaten verbinding kunnen maken. Stel dat u zich op een conferentie, in een vergadering of in een coffeeshop bevindt en gewoon online moet gaan met uw laptop op een beveiligd netwerk. U kunt Personal Hotspot met een WPA-wachtwoordzin inschakelen om een beveiligd draadloos netwerk te maken waarmee andere apparaten verbinding kunnen maken. De onderzoekers bedachten hoe ze de automatisch gegenereerde wachtwoordzinnen konden kraken.
"Rekening houdend met onze optimalisaties, kunnen we nu laten zien dat het voor een aanvaller mogelijk is om binnen enkele seconden een standaardwachtwoord van een willekeurige iOS-hotspotgebruiker te onthullen, " schreven Andreas Kurtz, Felix Freiling en Daniel Metz in hun paper.
Implicaties voor onderzoek
De wetenschappers hebben rekening gehouden met de tijd die een potentiële aanvaller nodig heeft om de vierzijdige handdruk vast te leggen die wordt onderhandeld telkens wanneer een draadloos apparaat met succes verbinding maakt met een WPA2 (Wi-Fi Protected Access 2) -netwerk. "Een aanvaller hoeft alleen een WPA2-authenticatiehandshake vast te leggen en de vooraf gedeelde sleutel te kraken met behulp van ons geoptimaliseerde woordenboek, " schreven Kurtz, Freiling en Metz.
Als u de hotspotfunctie op uw iPhone en iPad gebruikt om mobiele internetverbinding te delen met andere draadloze apparaten, let dan op. Het hele punt van de wachtwoordzin is om het netwerk te beschermen tegen potentiële aanvallers die zich binnen het bereik van het netwerk bevinden. Maar als ze de sleutel kunnen identificeren, kunnen ze ook verbinding maken met de hotpost (en uw bandbreedte gebruiken), uw netwerkactiviteit controleren of verschillende man-in-the-middle-aanvallen starten terwijl netwerkgegevens tussen de verbonden apparaten en de iPhone.
"De wachtwoordzinkeuze voor uw persoonlijke hotspot is net zo belangrijk als de wachtwoordzin die u thuis voor uw vaste wifi-router kiest, " schreef Paul Ducklin, een beveiligingsexpert bij Sophos, op de Naked Security-blog.
Niet zo willekeurige wachtzinnen
Apple genereert een "uit te spreken" reeks van vier tot zes tekens en voegt een willekeurig getal van vier cijfers toe aan het einde van de reeks om de wachtwoordzin van de hotspot te maken, aldus de onderzoekers. Het bleek dat alle woorden die tijdens hun onderzoek werden gegenereerd, ook te vinden waren in een woordenlijst die werd gebruikt door een open-source Scrabble-spel. Onderzoekers deden slechts 49 minuten op een laptop met een enkele grafische kaart om met behulp van deze woordenlijst alle mogelijke wachtwoordzincombinaties te doorlopen.
Na het catalogiseren van de wachtwoorden die door de Personal Hotspot zijn gegenereerd in ongeveer 250.000 gevallen, stelden de onderzoekers vast dat Apple slechts 1.842 verschillende woorden gebruikte als de basistekenreeks om de wachtwoordzinnen te maken. Dit betekende dat er volgens het artikel minder dan 18, 5 miljoen mogelijke wachtwoordzincombinaties konden worden doorzocht.
"Hoewel de automatische wachtwoordzingenerator voor iOS de indruk kan wekken van 'uitgesproken willekeur', geeft het eigenlijk een vals gevoel van veiligheid omdat het veel te voorspelbaar is, " schreef Ducklin.
Kies je eigen wachtwoordzinnen
Hoewel echt willekeurige wachtwoorden moeilijk kunnen zijn voor de gemiddelde gebruiker om regelmatig mee om te gaan, als Apple zelfs hoofdletters en kleine letters samen met speciale tekens in de wachtwoordzin-generator had gegooid, zouden de resulterende tekenreeksen meer tijd en middelen vergen om kraken dan wat er momenteel wordt gegenereerd, volgens onderzoekers.
"Kies je eigen wachtwoordzin en maak er een goede van bij het gebruik van iOS's persoonlijke hotspot, " raadde Ducklin aan.
Dat gezegd hebbende, het zwakke wachtwoordzinprobleem is niet beperkt tot alleen iOS-apparaten, waarschuwden de onderzoekers. Windows Phone 8 van Microsoft genereert een achtcijferig nummer als het standaardwachtwoord, en afhankelijk van de provider kunnen sommige Android-handsets ook gemakkelijk te kraken wachtwoorden genereren.
Met Persoonlijke Hotspot kan de iPhone-eigenaar ook bijhouden hoeveel mensen daadwerkelijk op het netwerk zijn aangesloten, dus het is een goed idee om eventuele willekeurige bezoekers te onthouden. En kies altijd uw eigen wachtwoordzin en maak er een sterke wachtwoord bij het instellen van uw eigen persoonlijke hotspot.
Onderzoekers identificeerden tien woorden, waaronder "suave", "subbed" en "Headed", die volgens het artikel tien keer meer kans hadden om te worden geselecteerd voor de wachtwoordzin.