以色列安全研究员 Ido Hoorvitch(特拉维夫)公布了一项实验结果,该实验旨在研究用于组织无线网络访问的密码强度。 在对带有 PMKID 标识符的截获帧的研究中,可以猜测访问特拉维夫 3663 个无线网络中 5000 个 (73%) 的密码。 因此,得出的结论是,大多数无线网络所有者设置了容易受到哈希猜测的弱密码,并且他们的无线网络可能会使用标准的 hashcat、hcxtools 和 hcxdumptool 实用程序受到攻击。
Ido 使用一台运行 Ubuntu Linux 的笔记本电脑来拦截无线网络数据包,将其放在背包中并在城市中闲逛,直到他能够从 8 个不同的无线网络中拦截带有 PMKID(成对主密钥标识符)标识符的帧。 之后,他使用配备 8000 GPU NVIDIA QUADRO RTX 48 7GB 的计算机,使用从 PMKID 标识符中提取的哈希值来猜测密码。 该服务器上的选择性能接近每秒 200 万次哈希。 相比之下,在普通笔记本电脑上,性能约为每秒 10 万次哈希,足以在大约 9 分钟内猜出一个 XNUMX 位数字的密码。
为了加快选择速度,搜索仅限于仅包含 8 个小写字母以及 8、9 或 10 个数字的序列。 此限制足以确定 3663 个网络中的 5000 个网络的密码。 最流行的密码是 10 位数字,在 2349 个网络上使用。 8 个网络使用了 596 位数字的密码,9 个网络使用了 368 位数字的密码,8 个网络使用了 320 个小写字母的密码。使用 133 MB 大小的 rockyou.txt 字典重复选择,使我们能够立即选择 900 个密码。
假设其他城市和国家的无线网络密码可靠性情况大致相同,大多数密码可以在几个小时内找到,并且花费大约 50 美元购买支持空中监控模式的无线卡(ALFA Network)实验中使用AWUS036ACH卡)。 基于 PMKID 的攻击仅适用于支持漫游的接入点,但实践表明,大多数制造商不会禁用它。
该攻击使用了自 2 年以来已知的 WPA2018 黑客无线网络标准方法。 与需要在用户连接时拦截握手帧的经典方法不同,基于 PMKID 拦截的方法不依赖于新用户与网络的连接,并且可以随时执行。 要获得足以开始密码猜测的数据,您只需截取带有 PMKID 标识符的一帧。 此类帧可以通过监控漫游相关活动以被动模式接收,也可以通过向接入点发送身份验证请求来强制启动带有 PMKID 的帧传输。
PMKID 是使用密码、接入点 MAC 地址、客户端 MAC 地址和无线网络名称 (SSID) 生成的哈希值。 最后三个参数(MAC AP、MAC Station 和 SSID)最初是已知的,这允许使用字典搜索方法来确定密码,类似于系统上用户的密码如果散列泄露则可以被猜出。 因此,登录无线网络的安全性完全取决于密码集的强度。
来源: opennet.ru