Đến giờ, hầu hết mọi người đều biết rằng mạng Wi-Fi mở cho phép mọi người nghe trộm lưu lượng truy cập của bạn. Mã hóa WPA2-PSK tiêu chuẩn được cho là sẽ ngăn điều này xảy ra - nhưng nó không hoàn hảo như bạn nghĩ.
Đây không phải là tin nóng hổi về một lỗ hổng bảo mật mới. Đúng hơn, đây là cách WPA2-PSK luôn được thực hiện. Nhưng đó là điều mà hầu hết mọi người không biết.
Mở Mạng Wi-Fi so với Mạng Wi-Fi được mã hóa
Bạn không nên lưu trữ mạng Wi-Fi mở tại nhà , nhưng bạn có thể thấy mình đang sử dụng một cái ở nơi công cộng - ví dụ: ở quán cà phê, khi đi qua sân bay hoặc trong khách sạn. Mạng Wi-Fi mở không có mã hóa , có nghĩa là mọi thứ được gửi qua không khí đều "trong sáng." Mọi người có thể theo dõi hoạt động duyệt web của bạn và bất kỳ hoạt động web nào không được bảo mật bằng mã hóa đều có thể bị theo dõi. Có, điều này thậm chí đúng nếu bạn phải “đăng nhập” bằng tên người dùng và mật khẩu trên trang web sau khi đăng nhập vào mạng Wi-Fi mở.
Mã hóa - như mã hóa WPA2-PSK mà chúng tôi khuyên bạn nên sử dụng tại nhà - sửa chữa phần nào điều này. Ai đó ở gần không thể chỉ nắm bắt lưu lượng truy cập của bạn và rình mò bạn. Họ sẽ nhận được một loạt các lưu lượng được mã hóa. Điều này có nghĩa là mạng Wi-Fi được mã hóa sẽ bảo vệ lưu lượng truy cập riêng tư của bạn khỏi bị theo dõi.
Điều này đúng - nhưng có một điểm yếu lớn ở đây.
WPA2-PSK sử dụng khóa chia sẻ
LIÊN QUAN: Đừng có ý thức sai về bảo mật: 5 cách không an toàn để bảo mật Wi-Fi của bạn
Vấn đề với WPA2-PSK là nó sử dụng “Khóa chia sẻ trước”. Khóa này là mật khẩu, hoặc cụm mật khẩu, bạn phải nhập để kết nối với mạng Wi-Fi. Mọi người kết nối sử dụng cùng một cụm mật khẩu.
Thật dễ dàng để ai đó theo dõi lưu lượng được mã hóa này. Tất cả những gì họ cần là:
- Cụm mật khẩu : Mọi người có quyền kết nối với mạng Wi-Fi sẽ có quyền này.
- Lưu lượng liên kết cho một khách hàng mới : Nếu ai đó đang nắm bắt các gói được gửi giữa bộ định tuyến và một thiết bị khi nó kết nối, họ có mọi thứ họ cần để giải mã lưu lượng (tất nhiên là giả sử họ cũng có cụm mật khẩu). Cũng không dễ dàng để có được lưu lượng truy cập này qua Các cuộc tấn công “deauth” buộc ngắt kết nối thiết bị khỏi mạng Wi_Fi và buộc thiết bị phải kết nối lại , khiến quá trình liên kết xảy ra một lần nữa.
Thực sự, chúng tôi không thể nhấn mạnh việc này đơn giản như thế nào. Wireshark có một tùy chọn tích hợp để tự động giải mã lưu lượng WPA2-PSK miễn là bạn có khóa chia sẻ trước và đã nắm bắt được lưu lượng truy cập cho quá trình liên kết.
Điều này thực sự có nghĩa là gì
LIÊN QUAN: Mã hóa WPA2 của Wi-Fi của bạn có thể bị bẻ khóa khi ngoại tuyến: Đây là cách
Điều này thực sự có nghĩa là WPA2-PSK không an toàn hơn nhiều để chống lại việc nghe trộm nếu bạn không tin tưởng mọi người trên mạng. Ở nhà, bạn nên an toàn vì cụm mật khẩu Wi-Fi của bạn là bí mật.
Tuy nhiên, nếu bạn đi ra quán cà phê và họ sử dụng WPA2-PSK thay vì mạng Wi-FI mở, bạn có thể cảm thấy an toàn hơn nhiều về quyền riêng tư của mình. Nhưng bạn không nên - bất kỳ ai có cụm mật khẩu Wi-Fi của quán cà phê đều có thể theo dõi lưu lượng duyệt web của bạn. Những người khác trên mạng hoặc chỉ những người khác có cụm mật khẩu, có thể theo dõi lưu lượng truy cập của bạn nếu họ muốn.
Hãy chắc chắn để tính đến điều này. WPA2-PSK ngăn những người không có quyền truy cập vào mạng bị rình mò. Tuy nhiên, khi họ có cụm mật khẩu của mạng, tất cả các cược sẽ tắt.
Tại sao WPA2-PSK không cố gắng ngăn chặn điều này?
WPA2-PSK thực sự cố gắng ngăn chặn điều này thông qua việc sử dụng “khóa tạm thời theo cặp” (PTK). Mỗi máy khách không dây có một PTK duy nhất. Tuy nhiên, điều này không giúp ích nhiều vì khóa duy nhất cho mỗi máy khách luôn bắt nguồn từ khóa chia sẻ trước (cụm mật khẩu Wi-Fi.) Đó là lý do tại sao việc nắm bắt khóa duy nhất của khách hàng là điều dễ dàng miễn là bạn có Wi- Cụm mật khẩu Fi và có thể nắm bắt lưu lượng được gửi qua quy trình liên kết.
WPA2-Enterprise giải quyết vấn đề này… Đối với các mạng lớn
Đối với các tổ chức lớn yêu cầu mạng Wi-Fi an toàn, điểm yếu bảo mật này có thể tránh được thông qua việc sử dụng tính năng tự động hóa EAP với máy chủ RADIUS - đôi khi được gọi là WPA2-Enterprise. Với hệ thống này, mỗi khách hàng Wi-Fi nhận được một khóa thực sự duy nhất. Không một ứng dụng khách Wi-Fi nào có đủ thông tin để bắt đầu theo dõi một ứng dụng khách khác, vì vậy điều này cung cấp khả năng bảo mật cao hơn nhiều. Các văn phòng công ty lớn hoặc các cơ quan chính phủ nên sử dụng WPA2-Enteprise vì lý do này.
Nhưng điều này quá phức tạp và phức tạp đối với đại đa số mọi người - hoặc thậm chí hầu hết những người đam mê - sử dụng ở nhà. Thay vì một cụm mật khẩu Wi-FI bạn phải nhập trên các thiết bị bạn muốn kết nối, bạn phải quản lý một máy chủ RADIUS xử lý xác thực và quản lý khóa. Điều này phức tạp hơn nhiều đối với người dùng gia đình để thiết lập.
Trên thực tế, thậm chí không đáng để bạn mất thời gian nếu bạn tin tưởng mọi người trên mạng Wi-Fi của mình hoặc mọi người có quyền truy cập vào cụm mật khẩu Wi-Fi của bạn. Điều này chỉ cần thiết nếu bạn kết nối với mạng Wi-Fi được mã hóa WPA2-PSK ở một địa điểm công cộng - quán cà phê, sân bay, khách sạn hoặc thậm chí văn phòng lớn hơn - nơi những người khác mà bạn không tin tưởng cũng có Wi- Cụm mật khẩu của mạng FI.
Như vậy là trên trời rơi xuống? Tất nhiên là không rồi. Tuy nhiên, hãy ghi nhớ điều này: Khi bạn kết nối với mạng WPA2-PSK, những người khác có quyền truy cập vào mạng đó có thể dễ dàng theo dõi lưu lượng truy cập của bạn. Bất chấp điều mà hầu hết mọi người có thể tin, mã hóa đó không cung cấp khả năng bảo vệ chống lại những người khác có quyền truy cập vào mạng.
Nếu bạn phải truy cập các trang web nhạy cảm trên mạng Wi-Fi công cộng - đặc biệt là các trang web không sử dụng mã hóa HTTPS - hãy xem xét làm như vậy thông qua VPN hoặc thậm chí là một Đường hầm SSH . Mã hóa WPA2-PSK trên các mạng công cộng không đủ tốt.
Tín dụng hình ảnh: Cory Doctorow trên Flickr , Nhóm thực phẩm trên Flickr , Robert Couse-Baker trên Flickr
