WPA Passwort in 20Min.... (für $37)

techno

New member
Themenstarter
Registriert
17 Apr. 2007
Beiträge
4.545
New cloud-based service steals Wi-Fi passwords
By Robert McMillan
 
December 7, 2009 05:02 PM ET
IDG News Service -
 
For $34, a new cloud-based hacking service can crack a WPA (Wi-Fi Protected Access) network password in just 20 minutes, its creator says.
 
Launched today, the WPA Cracker service bills itself as a useful tool for security auditors and penetration testers who want to know if they could break into certain types of WPA networks. It works because of a known vulnerability in Pre-shared Key (PSK) networks, which are used by some home and small-business users.
 
To use the service, the tester submits a small "handshake" file that contains an initial back-and-forth communication between the WPA router and a PC. Based on that information, WPA Cracker can tell whether the network seems vulnerable to this type of attack.
 
The service was launched by a well-known security researcher who goes by the name of Moxie Marlinspike. In an interview, he said that he got the idea for WPA Cracker after talking to other security experts about how to speed up WPA network auditing. "It's kind of a drag if it takes five days or two weeks to get your results," he said.
 
Hackers have known for some time that these WPA-PSK networks are vulnerable to what's called a dictionary attack, where the hacker guesses the password by trying out thousands of commonly used passwords until one finally works. But because of the way WPA is designed, it takes a particularly long time to pull off a dictionary attack against a WPA network.

.…
http://www.iclarified.com/entry/index.php?enid=6469

(Quelle, aus Mobile Browser, daher für PC ungeignet)
 
[quote='mittelhessen',index.php?page=Thread&postID=720730#post720730]Du fragtest provozierend, ob ich die Kenntnisse aus der Computer-Bild habe[/quote]
Habe ich das?
Oder war das vielleicht jemand anderes?

(Achtung, Fangfrage!)


(PS: Ja, die Computer-Bild ist für mich kein Fachblatt. Es ist eine recht gute Zeitschrift für Laien, aber ein Profi, der sich darauf beruft oder auf dem Niveau schreibt, mach sich in meinen Augen lächerlich.)


[quote='mittelhessen',index.php?page=Thread&postID=720730#post720730]Dies hab ich verneint und dir nur mitgeteilt, woher ich meine Kenntnisse wirklich habe. Ich denke das ist durchaus legitim und sollte dich nicht diffamieren. Mir ist auch unklar, wieso und weshalb du dich so aufführst und die Netiquette des Forums missachtest.[/Quote]
Aha? Wo habe ich denn die Netiquette missachtet?
Ja, ich schreibe gerne sehr direkt, ws ich denke. Aber ich achte (normalerweise) darauf, eben nicht zu beleidigen oder ähnliches.
Also: Wo konkret habe ich deiner Meinung nach gegen die Netiquette verstossen?


[quote='mittelhessen',index.php?page=Thread&postID=720730#post720730]Die Tipps meinerseits waren nur gut gemeint und sollen eine Grundlage zur vernünftigen Absicherung eines privaten WLans bieten. Dass es kein absolut sicheres Netzwerk gibt, ist jedem klar und wird hiermit nochmal ausdrücklich bestätigt! Wer sich aufgrund meiner Tipps in der oft genannten "falschen Sicherheit" wiegt, sollte vielleicht mal grundsätzlich über Sicherheitsrisiken bei der Computerbenutzung nachdenken. Ich bin weiterhin der Meinung, dass keiner(!) der genannten Sicherheitsmechanismen alleine ausreichende Sicherheit bietet. Es geht im die Risikominimierung im Gesamtzusammenhang und nicht darum, ob und wie wirkungsvoll die einzelnen Maßnahmen sind. Das habe ich auch ausdrücklich so im ersten Beitrag geschrieben![/quote]
0 plus 0 sind immer noch 0, und 0 + 0 + 1 sind 1 und nicht 3
 
Ich finde die Tipps von Mittelhessen jetzt nicht unsinnvoll. Hier ist ja nicht jeder Fachinformatiker, Informatikstudent usw...

Außerdem ist nicht jeder "Angreifer" Fachinformatiker, Informatikstudent usw... um es dem Mieter in der Wohnung unten drunter, der es einfach mal ausprobieren will ob er rein kommt, zu erschweren ist es doch ok, oder?
Jemand der es gezielt auf das Wlan abgesehen hat findet meist doch Mittel und Wege.
 
- relativ lange SSID benutzen und den SSID-Broadcast ausschalten
Unsinn
- Buchstaben (Groß-/Kleinschreibung), Zahlen und Sonderzeichen gemischt in der SSID benutzen (manche Router bzw. Firmwares unterstützen das aber nicht!)
genauso Unsinn
- keine SSID wählen, die auf Persönliches schließen lässt (wie z. B. Name, Straße, Haustiername, Hobbys, ...)
Einen Namen, der nicht auf den physikalischen Standort der Hardware hinweist ist, eher neutral anzusehen. Durch die Signalstärke kann eh ungefähr der Standort der Hardware ausgemacht werden. Haustiername, Hobbies etc nicht zu wählen ist auch wieder Unsinn.
- alle WLan-Clients in den MAC-Filter eintragen und den MAC-Filter aktivieren
Sinvoll gegen Laien bzw. damit sich niemand unerwünscht einloggt, ein effektiver Sicherheitsaspekt ist nicht gegeben
- das Routerpasswort ändern (übliche Passwortregeln: keine Namen, Buchstaben-/Zahlenfolgen, usw. -> ebenfalls: Groß-/Kleinschreibung, Zahlen, Sonderzeichen, ...)
Sinnvoll, bei vielen neuen Routern aber mittlerweile schon individuell.
- WPA2-AES Verschlüsselung auswählen und keinen gemischten Modus mit WPA/WPA2, falls nur WPA2-fähige Clients in der Netzwerkumgebung sind
WPA2-AES wählen. Heutzutage können so gut wie alle Rechner, spätestens nach Upgrade der Firmware der WLAN Karte bzw. des OS WPA2
- sicheres WPA2-Passwort auswählen, d. h. min. 12 Stellen (besser länger!), Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen verwenden, keine Wortbestandteile benutzen! Das verwendete Passwort sollte so (kryptisch) gewählt sein, dass man es sich selber nicht mehr merken kann. Dafür aufschreiben und an einem sicheren Ort (Schließfach, Tresor, ...) aufbewahren.
Verschiedene Symbole (Zahölen/Groß/Klein) und Längesinnvoll.
Keine Wortbestandteile ist quatsch. Eine Entschlüsselung wie in Filmen mit jedem einzelnen Buchstaben funktioniert nicht. Es werden immer ein gesamter String abgeprüft. Entweder wird eine Dictionary Attack oder Bruteforce durchgeführt. Hier muss allerdings auch erstmal die Länge und die verwendeten Arten der Symbole bekannt sein.
- Das WPA2-Passwort regelmäßig wechseln, solange der Aufwand vertretbar ist. Bei max. 3-4 Clients sollte es kein Problem sein, das Passwort etwa halbjährlich zu wechseln...
Sinnvoll, wenn das Passwort allgemein bekannt ist. Ein AES verschlüsseltes PW zu entschlüsseln übersteigt aber vermutlich viele viele Jahre.
- Bei der Verwendung von DHCP, die Anzahl der zu vergebenden IP-Adresse auf die max. Anzahl der Clients im Netzwerk reduzieren.
Unsinn, man kann einfach statisch sich selber die IP vergeben und die Range rauszufinden ist auch kein Ding
- Evtl. mit StaticDHCP arbeiten (sofern der Router das zulässt): die Clients bekommen dann ihre IP ausschließlich über ihre MAC-Adresse zugeordnet.
sofern der Router das zulässt..., aber genauso unsicher wie Mac-Filter
- Sendeleistung des WLans soweit reduzieren, wie max. nötig! Das heisst, dass 100% nur dann genutzt werden sollten, wenn man tatsächlich über mehrere Stockwerke arbeitet oder oft echte Empfangsprobleme hat.
Sinnvoll, können aber nicht alle Router, besonders die günstigen nicht
- Den Netzwerk-Modus des WLan (A/B/G/N-Standard) so wählen, dass nur die genutzten Clients versorgt werden, d. h. in einer Umgebung mit beispielsweise nur zwei G-Clients sollte der G-Only Mode verwendet werden.
Fragwürdig, da ein potentieller Angreifer bestimmt eine Wlan Karte hat, welche die entsprechenden Standards kann
- Das WLAN in Zeiten, in denen es sicher nicht benutzt/gebraucht wird, über einen Timer abschalten: z. B. zwischen 0 und 6 Uhr.
Sinnvoll
- Bei den Clients einen "obligatorischen Zugriffspunkt" erstellen, sofern nur ein einziger WLan-Router/Access Point verwendet wird. Der Client verbindet sich dann ausschließlich mit dem WLan-Router/Access Point, dessen MAC-Adresse dort eingetragen ist.
Fragwürdig, da ein Angreifer meistens die Identität enes Rechners übernimmt. Da die meisten Leute 1-2 Notebooks nur haben (normale Leute) ist die Wahrscheinlichkeit diesen Rechner auch zu erwischen hoch.

@Mittelhessen, ich war das mit der Bild. Diese Hinweise wirken für mich so und daher diese Annahme. Das sollte nicht beleidigend gegenüber dir sein, auch wenn dies so gewirkt haben mag.

@Mampf, es geht darum, dass einige Hinweise einfach nichts bringen und einem eine falsche Sicherheit vermitteln. Das wollen wir hier verhindern.
 
[quote='Mampf',index.php?page=Thread&postID=720746#post720746]Außerdem ist nicht jeder "Angreifer" Fachinformatiker, Informatikstudent usw... um es dem Mieter in der Wohnung unten drunter, der es einfach mal ausprobieren will ob er rein kommt, zu erschweren ist es doch ok, oder?[/quote]
Der Nachbar, der es ausprobieren will, scheitert schon am WPA-Passwort. Fertig.

MAC-Filter oder SSID verstecken bringt keinen zusätzlichen Schutz, weil, wie gesagt jeder, der WPA-Knacken will, die Daten "nebenbei" bekommt.

Wenn aber jetzt jemand aufgrund von mittelhessens Liste meint, es würde reichen, ein paar der Tips umzusetzen, um zumindest einen gewissen Schutz zu erhalten, und sich gerade die falschen (weil unwirksamen) DInge raussucht, dann hat die Liste genau das Gegenteil von dem erreicht, was sie erreichen sollte.

Deswegen: Nutzloses mit sinnvollem zu vermengen ist kontraproduktiv.


[quote='Mampf',index.php?page=Thread&postID=720746#post720746]Jemand der es gezielt auf das Wlan abgesehen hat findet meist doch Mittel und Wege.[/quote]
Bei einer vernünftigen WPA2-Verschlüsselung stehen die Mittel, die notwendig sind, in keinem Verhältnis zu dem Nutzen, den man durch den Einbruch in ein privates WLAN bekommt.
 
Der Nachbar, der es ausprobieren will, scheitert schon am WPA-Passwort. Fertig.
Wenn aber jetzt jemand aufgrund von mittelhessens Liste meint, es würde reichen, ein paar der Tips umzusetzen, um zumindest einen gewissen Schutz zu erhalten, und sich gerade die falschen (weil unwirksamen) DInge raussucht, dann hat die Liste genau das Gegenteil von dem erreicht, was sie erreichen sollte.

Ok, stimmt eigentlich. So weit hatte ich noch garnicht gedacht. :rolleyes:
 
Spielkram wie MAC-Filter und SSID verstecken verursachen gerne mal Probleme. Da verlass ich mich besser auf aktive Ueberwachung und lass mir von arpwatch eine Mail schicken, wenn sich im Netz was Neues herumtreibt.
 
[quote='Sizzlorr',index.php?page=Thread&postID=720701#post720701]

@Evilandi666 wo liegt denn genau das Sicherheitsproblem? Ich finde diese Sache äußerst angenehm. Ein anderer geht normal nicht an deinen Rechner, falls doch selber schuld. Und selbst wenn es nicht im klartext angezeigt wird ist es doch äußerst einfach die Datei unter Windows auszulesen, welche die gewünschten Daten speichert.[/quote]

Das ist insofern ein Problem, das nun jeder "Laie" sofort mit 2 Klicks deinen Wlankey kennt, wenn du ihn nur kurz an deinen PC lässt.
D.h. du kannst ab jetzt niemand mehr "mal kurz" an deinen PC lassen.(gut tu ich sowieso nicht.)

Aber wenn z.B. ein Freund/xyz da ist und dich fragt "kann ich mal kurz in Ebay/xyz" kannst du das nicht mehr erlauben, da er mit 2 Klicks deinen Wlankey kennen würde. Oder andere Situation: Du zeigst ihm was an deinem PC und gehst kurz aufs Klo - dann musst du den PC zwangsläufig solange sperren. Bisher war sowas kein großes Problem, zumindest bei laienhaften Nutzern.

Das es für einen "Profi" keine Hürde darstellte einen WPA Key aus Windows auszulesen ist klar, wobei man selbst dazu irgendein Tool oder sowas brauchte (zumindest eine Möglichkeit die Daten vor Ort zu decrypten oder die verschlüsselten Daten mitzunehmen), aber das fällt nun weg.

Oder mal etwas weiter gedacht, mit 2 Klicks kennt er deinen Wlankey, mit weiteren 2-3 Klicks dein Homegroup PW (Klartextanzeige sei dank) und schwupps zieht er mal Nachts aus dem Auto alles aus deiner Homegroup raus.

Das empfinde ich schon als Sicherheitslücke/Sicherheitsproblem. X(

// Mit entspr. Hardware kann man von der Straße aus zu fast jedem Wlan connecten - wenn u.U. auch mit lahmer Geschwindigkeit, was aber nicht so wichtig ist, das kann ja auch 24 Stunden dauern, merken tust du es ja normalerweise nicht.
 
warum hat noch keiner erwähnt regelmässig mal die router logs zu checken? oder ist das auch nicht sinnvoll?
 
[quote='Sizzlorr',index.php?page=Thread&postID=720701#post720701]Sowohl WPA als auch WPA2 , welches PreSharedKey nutzt ist unsicher. Das ist übrigends schon lange bekannt. Das Nuzten eines MAC Filters ist in wenigen Sekunden ausgehebelt.

(...)

Generell würde ich kein PSK sondern AES einsetzen, damit ist man momentan auf der sichereren Seite.

(...)[/quote]Bei der ersten Aussage stimme ich dir zu. Jedoch verstehe ich nicht ganz, wie nun AES statt PSK eingesetzt werden soll. Wenn ich keinen großen Denkfehler gemacht habe, dann gibt es doch nicht die Wahl zwischen AES oder PSK, denn AES beschreibt die Verschlüsselung des Verkehrs, PSK aber die Art und Weise, wie man sich am Netz authentifiziert.

Gern würde ich wissen, wie man PSK umgehen kann, wenn man keine Radius-Server-Anmeldung oder ähnliches, kompliziertes verwenden kann/möchte. Das ist nämlich für den Privatmann IMHO leider nicht wirklich gegeben.
 
[quote='adeba',index.php?page=Thread&postID=720807#post720807]warum hat noch keiner erwähnt regelmässig mal die router logs zu checken? oder ist das auch nicht sinnvoll?[/quote]

Jap ist es, ich check regelmäßig die angemeldeten Geräte (aktuell angemeldete und bisher jemals irgendwann angemeldete) Geräte in meiner Fritzbox.
 
Wenn ich keinen großen Denkfehler gemacht habe, dann gibt es doch nicht die Wahl zwischen AES oder PSK, denn AES beschreibt die Verschlüsselung des Verkehrs, PSK aber die Art und Weise, wie man sich am Netz authentifiziert.
Ja, ist richtig. Man hat im Regelfall die Wahl zwischen AES und TKIP.

PSK mit TKIP soll mit großem Aufwand teilweise? geknackt sein.
 
[quote='Sizzlorr',index.php?page=Thread&postID=720706#post720706]@mittelhessen, woher stammen denn die Tipps? Von der Computer-BILD?

Die meisten dieser sogenannten Hinweise sind einfach nicht richtig, oder wiegen ahnungslose Nutzer in falscher Sicherheit.[/quote]

und ich hatte ihn gelobt, weil er es so nett (und viel) beschrieben hatte...
Doch sind seine Tipps für Normal-Nutzer doch überaus sinnvoll...

CIA wird wohl andere Massnahmen ergreifen, darum geht es Normal-Nutzern aber wohl nicht...
 
[quote='Evilandi666',index.php?page=Thread&postID=720672#post720672]Größtes Sicherheitsproblem ist imho dass Windows 7 alle gespeicherten Keys im Klartext anzeigt.

D.h. jemand an eurem PC kann alle Wlankeys relativ schnell auslesen.

Genaueres: http://evilandi666.de/2009/10/windows-7-wlan-key-anzeigen-bug-oder-feature/[/quote]

Danke für den Hinweis! Das ist IMO wirklich alles andere als gut. In den FRITZBoxen ist es das gleiche, find ich da auch nicht besser. Ich werd dann wohl in Zukunft wenn möglich auf das Intel-Utility umsteigen.
 
[quote='M3CSL',index.php?page=Thread&postID=720887#post720887]In den FRITZBoxen ist es das gleiche[/quote]
Na und? Wer kommt da ran? Hast du kein Zugangspasswort zur FB gesetzt?
 
[quote='techno',index.php?page=Thread&postID=720630#post720630]Ja $17 oder $37...- geht sich ja mehr darum, dass bis vor kurzer Zeit WPA als sicher bezeichnet wurde... - und WEP sogar als veraltet und ggfls gefährlich... -wollte nur darauf hinweisen, dass nichts und niemand sicher ist (wenn er ein Target darstellt) - da aber wohl niemand hier etwas zu verbergen/befürchten hat, kann man das ganze wohl als "Allgemeinbildung" abbuchen und weiter machen wie bisher... ( und Mac-Filterung zusätzlich einschalten)[/quote]
Das sehe ich anders. IMO hat jeder was zu verbergen der einen Internetzugang im Netz konfiguriert hat. Es reicht wenn jemand diesen nutzen will um was illegales darüber zu machen und wenn er das dann macht hast du ein Problem. Das mag für den einen oder anderen auch den Aufwand wert sein, etwas Zeit in das cracken der Verschlüsselung wert sein.

Und ja, WEP ist tatsächlich veraltet und gefährlich, da es in wenigen Minuten zu cracken sein soll. Und ich glaube den Berichten und denke, dass mit etwas Netzwerk-Grundwissen und Google Viele WEP innerhalb von Minuten umgehen können.

Ich schließe mich an: MAC-Filterung ist bei Angreifern die Google bedienen können nutzlos.

[quote='EuleR60',index.php?page=Thread&postID=720892#post720892][quote='M3CSL',index.php?page=Thread&postID=720887#post720887]In den FRITZBoxen ist es das gleiche[/quote]
Na und? Wer kommt da ran? Hast du kein Zugangspasswort zur FB gesetzt?[/quote]
Doch, habe ich und trotzdem sehe ich das so. Wie viele setzen kein Passwort? Dann bist du soweit wie bei W7, wenn du einen "Freund" in den Netz lässt.
 
[quote='cunni',index.php?page=Thread&postID=720808#post720808]
Bei der ersten Aussage stimme ich dir zu. Jedoch verstehe ich nicht ganz, wie nun AES statt PSK eingesetzt werden soll. Wenn ich keinen großen Denkfehler gemacht habe, dann gibt es doch nicht die Wahl zwischen AES oder PSK, denn AES beschreibt die Verschlüsselung des Verkehrs, PSK aber die Art und Weise, wie man sich am Netz authentifiziert.

Gern würde ich wissen, wie man PSK umgehen kann, wenn man keine Radius-Server-Anmeldung oder ähnliches, kompliziertes verwenden kann/möchte. Das ist nämlich für den Privatmann IMHO leider nicht wirklich gegeben.[/quote]Ich bin nicht mehr dazu gekommen, meinen Beitrag zu editieren. Ich meinte man sollte lieber AES anstatt TKIP verwenden. Manche Router bezeichnen AES auch mit einem anderen Namen, der mir momentan nicht einfällt.
 
[quote='Sizzlorr',index.php?page=Thread&postID=720991#post720991][quote='cunni',index.php?page=Thread&postID=720808#post720808]
Bei der ersten Aussage stimme ich dir zu. Jedoch verstehe ich nicht ganz, wie nun AES statt PSK eingesetzt werden soll. Wenn ich keinen großen Denkfehler gemacht habe, dann gibt es doch nicht die Wahl zwischen AES oder PSK, denn AES beschreibt die Verschlüsselung des Verkehrs, PSK aber die Art und Weise, wie man sich am Netz authentifiziert.

Gern würde ich wissen, wie man PSK umgehen kann, wenn man keine Radius-Server-Anmeldung oder ähnliches, kompliziertes verwenden kann/möchte. Das ist nämlich für den Privatmann IMHO leider nicht wirklich gegeben.[/quote]Ich bin nicht mehr dazu gekommen, meinen Beitrag zu editieren. Ich meinte man sollte lieber AES anstatt TKIP verwenden. Manche Router bezeichnen AES auch mit einem anderen Namen, der mir momentan nicht einfällt.[/quote]Alles klar, dann sind wir uns ja einig. Anmeldung per PSK und dann TKIP (WPA) oder AES (WPA2). Ein anderer Name für AES fällt mir gerade nicht ein...

Grüße,
Cunni
 
[quote='M3CSL',index.php?page=Thread&postID=720894#post720894]Wie viele setzen kein Passwort?[/quote]
Wenn jemand seinen Krempel nicht ordentlich konfiguriert, kommt es auf angezeigte Passworte auch nicht mehr an.
 
[quote='EuleR60',index.php?page=Thread&postID=721013#post721013][quote='M3CSL',index.php?page=Thread&postID=720894#post720894]Wie viele setzen kein Passwort?[/quote]
Wenn jemand seinen Krempel nicht ordentlich konfiguriert, kommt es auf angezeigte Passworte auch nicht mehr an.[/quote]

war da nicht was mit Strafe, falls irgendwas passiert? Und man sein Home wifi nicht gesichert hatte... Der " Surfer" wird jedenfalls bestraft...

http://www.datenschutzbeauftragter-online.de/strafbarkeit-des-schwarz-surfens-im-ungesicherten-wlan/
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben