Vlákno názorů k článku
WPS má bezpečnostní trhlinu, PIN lze odhadnout
od Tomáš Trnka - Máte někdo tušení, co vedlo autory WPS k...
-
Máte někdo tušení, co vedlo autory WPS k tak, ehm, nešťastnému nápadu ověřovat PIN ve dvou fázích, pokaždé jen polovinu číslic? To aby klientské implementace mohly říkat uživateli "Udělal jste chybu v prvních čtyřech číslicích!"?
V tuhle chvíli to vypadá, že to vznikalo oblíbenou metodou "Poslyš, Pepo, tys měl jedničku z matiky, vymysli nám nějaký šifrování!" (též známá pod názvy "metoda MS-CHAP" či "stavové MPPE").
-
Sten (neregistrovaný)
SSH je z roku 1995 (ještě před koncem toho roku se stal poměrně běžný), MS-CHAP přišel roku 1998 jako zmršená implementace CHAP, která pochází z roku 1996 (které „kupodivu“ bezpečnostní problémy MS-CHAP nemá). NFSv3 z roku 1995 podporovalo autentizaci všech operací přes Kerberos.
-
Lael Ophir (neregistrovaný)
OK, ověřeno, fakta jsou na vaší straně. Mea culpa.
Na co jsem chtěl upozornit? Na to, že MS používal challenge-response authentication už v NT 3.1 (a ještě dříve v LanManu), když UNIXy ještě zcela běžně používaly telnet, ftp a NFS. S bezpečností UNIXů to v té době bylo celkem tragické. A NFS s AUTH_UNIX bohužel můžete vidět "in the wild" dodnes.
-
ebik (neregistrovaný)
A prave proto jsou TELNET a FTP bezpecnejsi nez MS-CHAP. Nebot vubec bezpecnost prenosu neresi, a nechavaji na uzivateli, at si bezpecny prenos zajisti sam. Telnet ci FTP na single user stroj (pouzitim) tunelovany/wrapovany skrz spravne nastavene SSL je bezpecnejsi, nez duverovat v MS-CHAP, ktery se bezpecnost resit snazi.
-
> To aby klientské implementace mohly říkat uživateli "Udělal jste chybu v prvních čtyřech číslicích!"?
A možná, že to tak bude. Uživatelé bývají zmatenější, než si my, zkušenější, dokážeme představit, takže WPS je pro ně spíše taková berlička, jak snadno a rychle nastavit WiFi síť. I když je to třeba nebezpečné. (Uvědomme si, že počítač je některými lidmi chápán jako pracovní nástroj a ne jako něco, v čem je nutné se pořád hrabat.)
