web-dev-qa-db-fra.com

L'utilisation de WPA2-Enterprise change-t-elle simplement le modèle d'attaque VS WPA2-PSK?

Pour autant que je puisse dire en fonction de la lecture que j'ai faite jusqu'à présent, WPA2-Enterprise utilise les mêmes algorithmes et méthodes de chiffrement et de sécurité que WPA2-PSK, avec l'ajout d'un autre service d'authentification.

Est-ce précis, ce qui signifie qu'un réseau WPA2 Enterprise WiFi est tout aussi susceptible qu'un réseau WPA2 PSK à la force brute et au dictionnaire/attaque pré-calculée? En fait, cela ne signifierait-il pas qu'un réseau d'entreprise WPA2 est plus susceptible d'une telle attaque que le nombre d'utilisateurs augmente?

Il ne semble pas trop difficile de configurer un service d'authentification. Cela étant le cas, dois-je gagner quelque chose de sécurité en utilisant WPA2 Enterprise?

8
Naftuli Kay

WPA2-Enterprise est (à mon avis) considérablement plus sécurisé que PSK. Les raisons

  • WPA2-PSK a une seule clé partagée parmi tous les appareils. Cela signifie que si l'un des périphériques est compromis, la clé est perdue, plus vous risquez de perdre du risque de perte ou de compromis augmente. Comme contre ce WPA2-Enterprise a par utilisateur secrets, donc pas le même problème.
  • À l'aide de WPA2-Enterprise, chaque utilisateur peut modifier leurs informations d'identification si nécessaire, alors qu'avec WPA2-PSK modifiant le secret pourrait être une entreprise majeure, en fonction de la taille et de la composition de la population d'utilisateurs/de périphériques. Cela augmente la gravité potentielle d'un compromis que la rotation de la clé sera beaucoup plus lente (dans la plupart des cas) que la rotation du mot de passe, de sorte que si un identifiant est compromis, il risque de le rester plus longtemps avec PSK.
  • Avec WPA2-Enterprise, vous pouvez utiliser des mécanismes d'authentification plus forts (par ex. 2-facteur si nécessaire)
  • Avec WPA2-Enterprise, vous pouvez ajouter une authentification de certificat pour arrêter les attaquants aléatoires brute-forcer les crédits d'utilisateurs pour avoir accès.
16
Rory McCune

En mode personnel ou à la clé pré-partagée (PSK), tous les utilisateurs partagent la même clé secrète, ce qui est 256 bits, généré à partir d'une phrase de passe de 8 à 64 caractères. WPA2 utilise des protocoles de cryptage solides pouvant être potentiellement négligents lorsqu'une phrase de passe suffisamment longue et sécurisée est utilisée. Sinon, le secret partagé peut être trouvé en capturant la poignée de main à quatre voies et en calculant toutes les combinaisons possibles. Si l'attaque brute force/dictionnaire réussit (probablement à cause d'une clé faible que l'on peut trouver dans les tables arc-en-ciel), toutes les communications futures/dernières peuvent être compromises. Un autre inconvénient est que tous les utilisateurs devront peut-être changer la clé secrète si un employé qui connaît la clé secrète quitte l'organisation.

En mode Enterprise ou RADIUS mode, un fichier externe RADIUS ou AAA Server est utilisé pour l'authentification. Chaque utilisateur peut être émis avec des informations d'identification de connexion uniques (certificat compris). Par conséquent, même si vous deviez brute la force et que vous obteniez d'une manière ou d'une autre, obtenez le mot de passe d'un utilisateur, seul cet utilisateur est affecté. Ce système d'identifiant et de mot de passe unique est également évolutif que les comptes d'utilisateur peuvent être facilement ajoutés ou supprimés du réseau.

Le mode Enterprise est basé sur la norme d'authentification IEEE 802.1X et utilise le protocole d'authentification extensible (PAE) avec de nombreuses variantes. Si les EAP-TLS et les certificats sont utilisés (généralement considérés comme le plus sécurisé mais gênant de déployer), la méthode de forçage brute sera encore plus difficile car vous avez maintenant besoin de casser des schémas asymétriques tels que RSA (en fonction de l'hypothèse selon laquelle la factorisation entière est un dur. Problème - qui a survécu à plus de 20 ans d'examen) au lieu de brute simplement de forcer une phase passante potentiellement "plus faible". Avec un certificat côté client, un mot de passe compromis n'est pas suffisant pour casser le schéma du PAE car la clé privée du client est également nécessaire.

Par conséquent, WPA2 Enterprise est clairement plus sécurisée et évolutive que la version PSK.

3
jingyang