上周的一篇文章引起了Ars读者的广泛关注,讨论了为何密码面临前所未有的威胁。密码是保护我们的Web银行账户、敏感电子邮件服务以及几乎我们在线生活的所有方面的关键。一旦失去对错误密码的控制,我们的其他数字资产可能也会在不久的将来受到威胁。
WPA和WPA2的密码保护
WPA和WPA2使用强大的密码存储机制,极大减缓了自动破解程序的速度。采用PBKDF2密钥派生函数和4096次SHA1密码哈希算法,对于最近泄露的LinkedIn和eHarmony密码的攻击,需要数天甚至数周或数月才能完成对WiFi加密方案的攻击。
此外,WPA和WPA2的密码要求至少八个字符,消除了用户选择较短短语的可能性,这样的短语可能在更短时间内被暴力破解。WPA和WPA2还使用网络的SSID作为盐,确保黑客无法有效地使用预先计算的表来破解代码。
实地测试:密码破解的可行性
尽管密码采用了强大的保护措施,实地测试显示密码破解仍然是可能的。通过捕获四次握手过程,即计算机验证自己与无线接入点之间的加密过程,黑客可以尝试破解密码。通过使用Silica等工具,我演示了如何在不到两小时的时间内破解测试网络的虚拟密码。
捕获四次握手的步骤
- 使用Silica工具发送deauth frame,即一系列的去授权数据包。
- 捕获握手过程中传输的数据包。
- 使用云服务工具(如CloudCracker)进行密码破解。
云破解服务:速度与成本
上传捕获的握手数据包到云破解服务CloudCracker,该服务收费17美元,即可对WiFi密码进行破解。测试显示,对于一些简单密码,破解时间可能仅为数分钟,但对于更复杂的密码,可能需要更长时间或更高费用。
实际案例分析
我得到了邻居的许可,尝试破解他的WiFi密码。令人惊讶的是,对于一个10位全数字密码,云破解服务CloudCracker只需89分钟即可破解。然而,对于一个8位密码,即使使用了高级破解工具Hashcat,也无法破解。这个密码的独特性在于它不遵循任何明显的模式,不是任何单词的拼写。这个案例突显了选择独特密码的重要性,避免使用容易猜测的单词或短语。
提高WiFi安全性的建议
除了定期更改密码和避免使用容易猜测的密码之外,WPA允许密码长度为63个字符,这使得可以附加四到五个随机选择的单词,例如"applesmithtrashcancarradar",这些单词易于告诉想要使用你无线网络的客人,但对于黑客来说几乎不可能破解。
结论
尽管密码面临前所未有的威胁,采取正确的步骤可以选择一个需要数周、数月甚至数年才能破解的密码。在这样的情况下,黑客更有可能转向更容易攻击的目标,例如那些使用容易猜测的密码的网络。保护你的WiFi网络,是确保个人信息安全的重要一步。
通过这次实地测试,我们了解到了密码破解的可行性,以及如何通过选择强大、独特的密码来提高网络安全性。在数字时代,保护个人信息不仅仅是一种责任,也是对自己的信息安全负责的表现。