アカウント名:
パスワード:
無線LANの WPA-2 AES は、8文字程度の PSK (事前共有鍵・所謂無線LANの「パスワード」) なら個人が簡単にやれる程度のGPU解析で1日かからず解析可能であり、(通信パケットを家に持ち帰って解析可能なのでターゲットの近くでやる必要もありません)12文字程度でもある程度時間をかければ解析できてしまいます。SSID が default, YBBUser, MyPlace とかだと レインボーテーブル [renderlab.net] が使えるので、更に高速で解析可能です。規格が古いこともあり、PSKのストレッチングが今の時代の標準からすると非常に弱いからです。
一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] によると、
と、20文字以上の PSK が推奨されています。しかし、PSKを手動設定しているユーザーで、20文字以上にしている人はほとんどいないのではないでしょうか。
調査 [ipa.go.jp]で「暗号化を行っているかどうか分からない」と答えたユーザーのうち、初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。何故ならば、最近の機種の AOSS で自動設定なら16進数63文字 (8dea085e75bca2f2758d5217c868a18e5f7daab6b342fc6dcaac63f12b8f51d 等) で、7.24e+75 と、手動設定の20文字の英数記号の場合(英26文字×2+数10文字+記号10文字=72文字)の強度 1.40e+37 を遥かに上回っているからです。
今時のルーターは、わざわざWebブラウザや専用ツールからルーター設定画面にアクセスして設定変更しない限り暗号化無しにはできないので、一般ユーザーに「暗号化設定」をさせるような啓発活動を行うと、せっかく自動設定で強度の高い暗号化がされているのに、"Keisuke@0603" みたいな短時間で解析可能な弱い PSK でそれを上書きしてしまい、かえって危険な状態になりかねません。ただし、古いルーターは Nintendo DS の Wi-Fi コネクション(サービスが終了したので今は必要ない)などに対応させるために自動設定で WEP が使われたり、マルチSSIDでゲーム機ようの穴が空けられてたりすることもあるので、それらの穴を塞ぐ設定をする必要はあります。
手動で暗号化するなら20文字以上のPSKで、20文字のPSKをスマホなどに入力するのが面倒で現実的でないと考えるならば WPS とか AOSS を使うのが最善かと思います。一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] には「一般家庭ではWPSの使用をお勧めします」と書かれています。
# なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
困ったことにiPhoneがWPS対応してないんですよね
何でWPS対応しないんでしょうね?大人の事情?
iPhone以前にmacもWPSに対応してないですよね?代わりのもっと便利な接続手段とか用意してるんでしょうか?(iCloudでの設定を共有するにしても、APごとに1回は設定が必要ですしMacBookの場合、iCloudから拾ってくるために+1回設定が必要ですし…)
教えてiPhone/macユーザ!
Jobsの遺志でWPS禁止だったりしてw
あとAOSSの接続ツールがない(作れない)のもなんとかしてほしい。なの長ったらしいキーを打つのが面倒で面倒で。
WPSを発明したいんだけど、アルゴリズムがわからないんだよ。
きっと。
QRコードでSSIDとパスワードを画面に表示して、それをスキャンさせるとか。
ってかSSIDブロードキャストを無効(通称ステルスモ-ド)すると特定の環境下になるととたんに解析しやすくなるので要注意です。
> 初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。
鍵長はともかく、AOSSはWPA(TKIP)までにしか対応していないので、普通にWPS使う方がよいと思います。
> # なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
手動設定はデバイスによっては現実的ではない(=ユーザが面倒になって弱いのを設定してしまいやすい)ので、次善としてはPIN入力のWPSですね。pbcにもガードタイムがあるので、同時に複数のpbc要求があると失敗にする事で乗っ取られにくい様に設計されてはいるのですが。
例えば、2007年8月上旬発売の バッファロー Wi-Fi Gamers WCA-G [buffalo.jp] という機種でも、スクリーンショット (左上に型番の WCA-G が表示されている) [webry.info] を見ていただければ分かるように AOSS 動作設定として AES (WPA-PSK-AES) に対応しています。
9年前当時の機種ではデフォルト設定はAESでなかったかもしれませんが、少なくともここ数年はデフォルトもAESだったと思います。
>9年前当時の機種ではデフォルト設定はAESでなかったかもしれませんが、少なくともここ数年はデフォルトもAESだったと思います。
WPAとWPA2は、微妙に違いがあるので、単に暗号形式がAESだから安全という話ではないのです。
CISCO先生のQ. WPA とは何ですか。WPA 2 と WPA の違いはどのような点ですか。 [cisco.com]とかご参照を。
> WPS は WPS でしょっちゅう脆弱性報告されて、侵入されてるから接続の設定まではやっても、新しい端末を追加しない時は無効にするのが基本。
そんなに仕様やアルゴリズム上の脆弱性が報告されているという話は聞かないのですが、特定の機器の実装に問題があるという問題とごちゃごちゃにしていないでしょうか?
別に暗号化しなくても、いいんじゃないですか。
どうせ、従量制のプロバイダなんてほとんどないでしょうし、ほんとにプライバシに配慮したページとかお金カラムページとかなら、 HTTPS 使ってるでしょ。フリースポットっていうんですか、無料 Wi-Fi スポットも街中にありますから、暗号化してる必要性そのものが不要な気がしますけど
通信を全て HTTPS などで暗号化していても、無線LANが不正利用されると危険があります。
無線LANの暗号化は、通信内容を傍受されないようにする効果だけでなく、第三者の不正利用を防ぐ効果があるのです。
自宅のIP対応機器が危険に晒されるのは確かに困りますけど、自宅のネットワークを自由に使われる事による最大の問題は、犯罪に使われた場合に捜査協力求められるだろうし、最悪の場合、自分に嫌疑が掛かるという点じゃないでしょうか?ひょっとすると、実は犯罪をやってるのは自分でその言い逃れのために穴開けてるという特殊ケースはあるかもしれませんけどね。
自分で管理できていない WiFi については、たとえ DNS や IP ルーティングが書き換えられている場合であっても、問題があれば公開鍵証明書の検証で警告やエラーが出るため、公開鍵証明書の検証が成功している限りは HTTPS だと問題は生じ得ないはずです。
検証成功しているのに中間者攻撃出来るのケースを示せるんですか?自分のPCが汚染済みか、CAの秘密鍵がバレるかのどちらかの場合しかないでしょ?
アルファベット大文字小文字数字記号が95文字とすると、8文字の解析が1日なら、9文字の解析には95日、12文字の解析には95^4で22万3000年必要なはずでは??ある程度ってどのくらい?文字集合何の仮定??GPUは何を何個(何万円)使っているの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:5, 参考になる)
無線LANの WPA-2 AES は、8文字程度の PSK (事前共有鍵・所謂無線LANの「パスワード」) なら個人が簡単にやれる程度のGPU解析で1日かからず解析可能であり、(通信パケットを家に持ち帰って解析可能なのでターゲットの近くでやる必要もありません)12文字程度でもある程度時間をかければ解析できてしまいます。SSID が default, YBBUser, MyPlace とかだと レインボーテーブル [renderlab.net] が使えるので、更に高速で解析可能です。規格が古いこともあり、PSKのストレッチングが今の時代の標準からすると非常に弱いからです。
一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] によると、
と、20文字以上の PSK が推奨されています。しかし、PSKを手動設定しているユーザーで、20文字以上にしている人はほとんどいないのではないでしょうか。
調査 [ipa.go.jp]で「暗号化を行っているかどうか分からない」と答えたユーザーのうち、初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。何故ならば、最近の機種の AOSS で自動設定なら16進数63文字 (8dea085e75bca2f2758d5217c868a18e5f7daab6b342fc6dcaac63f12b8f51d 等) で、7.24e+75 と、手動設定の20文字の英数記号の場合(英26文字×2+数10文字+記号10文字=72文字)の強度 1.40e+37 を遥かに上回っているからです。
今時のルーターは、わざわざWebブラウザや専用ツールからルーター設定画面にアクセスして設定変更しない限り暗号化無しにはできないので、一般ユーザーに「暗号化設定」をさせるような啓発活動を行うと、せっかく自動設定で強度の高い暗号化がされているのに、"Keisuke@0603" みたいな短時間で解析可能な弱い PSK でそれを上書きしてしまい、かえって危険な状態になりかねません。ただし、古いルーターは Nintendo DS の Wi-Fi コネクション(サービスが終了したので今は必要ない)などに対応させるために自動設定で WEP が使われたり、マルチSSIDでゲーム機ようの穴が空けられてたりすることもあるので、それらの穴を塞ぐ設定をする必要はあります。
手動で暗号化するなら20文字以上のPSKで、20文字のPSKをスマホなどに入力するのが面倒で現実的でないと考えるならば WPS とか AOSS を使うのが最善かと思います。一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] には「一般家庭ではWPSの使用をお勧めします」と書かれています。
# なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:3)
困ったことにiPhoneがWPS対応してないんですよね
Re: (スコア:0)
何でWPS対応しないんでしょうね?
大人の事情?
Re: (スコア:0)
iPhone以前にmacもWPSに対応してないですよね?
代わりのもっと便利な接続手段とか用意してるんでしょうか?
(iCloudでの設定を共有するにしても、APごとに1回は設定が必要ですし
MacBookの場合、iCloudから拾ってくるために+1回設定が必要ですし…)
教えてiPhone/macユーザ!
Re: (スコア:0)
Jobsの遺志でWPS禁止だったりしてw
Re: (スコア:0)
あとAOSSの接続ツールがない(作れない)のもなんとかしてほしい。
なの長ったらしいキーを打つのが面倒で面倒で。
Re: (スコア:0)
WPSを発明したいんだけど、アルゴリズムがわからないんだよ。
きっと。
Re: (スコア:0)
QRコードでSSIDとパスワードを画面に表示して、それをスキャンさせるとか。
Re: (スコア:0)
ってかSSIDブロードキャストを無効(通称ステルスモ-ド)すると特定の環境下になるととたんに解析しやすくなるので要注意です。
Re: (スコア:0)
> 初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。
鍵長はともかく、AOSSはWPA(TKIP)までにしか対応していないので、普通にWPS使う方がよいと思います。
> # なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
手動設定はデバイスによっては現実的ではない(=ユーザが面倒になって弱いのを設定してしまいやすい)
ので、次善としてはPIN入力のWPSですね。
pbcにもガードタイムがあるので、同時に複数のpbc要求があると失敗にする事で乗っ取られにくい様に
設計されてはいるのですが。
9年以上前の機種でも AOSS は AES 対応ですよ (スコア:2)
例えば、2007年8月上旬発売の バッファロー Wi-Fi Gamers WCA-G [buffalo.jp] という機種でも、スクリーンショット (左上に型番の WCA-G が表示されている) [webry.info] を見ていただければ分かるように AOSS 動作設定として AES (WPA-PSK-AES) に対応しています。
9年前当時の機種ではデフォルト設定はAESでなかったかもしれませんが、少なくともここ数年はデフォルトもAESだったと思います。
Re: (スコア:0)
>9年前当時の機種ではデフォルト設定はAESでなかったかもしれませんが、少なくともここ数年はデフォルトもAESだったと思います。
WPAとWPA2は、微妙に違いがあるので、単に暗号形式がAESだから安全という話ではないのです。
CISCO先生のQ. WPA とは何ですか。WPA 2 と WPA の違いはどのような点ですか。 [cisco.com]とかご参照を。
Re: (スコア:0)
Windows 8/8.1/10 では、自分のルータが WPS 対応してるだけで、PCのネットワークコンピュータ上に近隣の WPS 対応してる(未接続の) WiFi 端末が列挙されて気持ちわるい。
Re: (スコア:0)
> WPS は WPS でしょっちゅう脆弱性報告されて、侵入されてるから接続の設定まではやっても、新しい端末を追加しない時は無効にするのが基本。
そんなに仕様やアルゴリズム上の脆弱性が報告されているという話は聞かないのですが、
特定の機器の実装に問題があるという問題とごちゃごちゃにしていないでしょうか?
Re: (スコア:0)
別に暗号化しなくても、いいんじゃないですか。
どうせ、従量制のプロバイダなんてほとんどないでしょうし、ほんとにプライバシに配慮したページとかお金カラムページとかなら、 HTTPS 使ってるでしょ。
フリースポットっていうんですか、無料 Wi-Fi スポットも街中にありますから、暗号化してる必要性そのものが不要な気がしますけど
第三者に不正利用されるリスク & イントラネット扱いになるリスク (スコア:2)
通信を全て HTTPS などで暗号化していても、無線LANが不正利用されると危険があります。
無線LANの暗号化は、通信内容を傍受されないようにする効果だけでなく、第三者の不正利用を防ぐ効果があるのです。
Re: (スコア:0)
誰でも接続できたら、それらの中身まで見られる可能性が著しく高くなりますよ。
ちなみに自分の管理できていない WiFi だと、DNS や IPルーティングも書き換えられてる可能性ありますから、HTTPS も意味ないですよ。
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:2)
自宅のIP対応機器が危険に晒されるのは確かに困りますけど、自宅のネットワークを自由に使われる事による最大の問題は、犯罪に使われた場合に捜査協力求められるだろうし、最悪の場合、自分に嫌疑が掛かるという点じゃないでしょうか?
ひょっとすると、実は犯罪をやってるのは自分でその言い逃れのために穴開けてるという特殊ケースはあるかもしれませんけどね。
自分で管理できていない WiFi については、たとえ DNS や IP ルーティングが書き換えられている場合であっても、問題があれば公開鍵証明書の検証で警告やエラーが出るため、公開鍵証明書の検証が成功している限りは HTTPS だと問題は生じ得ないはずです。
uxi
Re: (スコア:0)
んなわけない。
そんな甘い考えで大丈夫か?
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:2)
検証成功しているのに中間者攻撃出来るのケースを示せるんですか?
自分のPCが汚染済みか、CAの秘密鍵がバレるかのどちらかの場合しかないでしょ?
uxi
Re: (スコア:0)
アルファベット大文字小文字数字記号が95文字とすると、8文字の解析が1日なら、9文字の解析には95日、12文字の解析には95^4で22万3000年必要なはずでは??ある程度ってどのくらい?文字集合何の仮定??GPUは何を何個(何万円)使っているの?