Daniel Hruska Ako koristite zadanu sigurnosnu lozinku za povezivanje na ličnu pristupnu tačku koju ste kreirali, razmislite o njenoj promjeni. Njemački istraživači sa Univerziteta Erlagen tvrde da su u stanju da ga razbiju za manje od jednog minuta.
V dokument sa imenom Upotrebljivost vs. sigurnost: Vječiti kompromis u kontekstu Appleovih iOS mobilnih pristupnih tačaka Istraživači u Enlargenu demonstriraju generiranje slabih zadanih lozinki za ličnu pristupnu tačku. Oni dokazuju svoje tvrdnje o podložnosti napadu grube sile prilikom uspostavljanja veze sa WPA2.
U radu se navodi da iOS generiše lozinke na osnovu liste reči koja sadrži otprilike 52 unosa, međutim, iOS se navodno oslanja na samo 200 od njih. Osim toga, cijeli proces odabira riječi sa liste je nedovoljno slučajan, što dovodi do njihove neravnomjerne distribucije u generiranoj lozinki. I upravo ova loša distribucija omogućava razbijanje lozinki.
Koristeći klaster od četiri AMD Radeon HD 7970 grafičke kartice, istraživači sa Univerziteta u Erlagenu uspjeli su probiti lozinke sa alarmantnom stopom uspješnosti od 100%. Tokom cijelog eksperimenta uspjeli su vrijeme proboja sabiti ispod jedne minute, na tačno 50 sekundi.
Osim neovlaštenog korištenja interneta sa povezanog uređaja, može se dobiti i pristup servisima koji rade na tom uređaju. Primjeri uključuju AirDrive HD i druge bežične aplikacije za dijeljenje sadržaja. I ne radi se samo o uređaju na kojem se kreira lična pristupna tačka, to može uticati i na druge povezane uređaje.
Najozbiljnija stvar u datoj situaciji je vjerovatno činjenica da se cijeli proces probijanja lozinke može u potpunosti automatizirati. Aplikacija je napravljena kao dokaz Hotspot Cracker. Računarska snaga potrebna za metodu grube sile može se lako dobiti preko oblaka sa drugih uređaja.
Cijeli problem proizlazi iz činjenice da proizvođači imaju tendenciju da kreiraju lozinke koje se pamte što je više moguće. Jedini izlaz je tada generirati potpuno nasumične lozinke, jer ih nije potrebno pamtiti. Nakon što ste uparili uređaj, nema potrebe da ga ponovo unosite.
Međutim, u radu se navodi da je na sličan način moguće provaliti lozinku na Androidu i Windows Phone 8. Kod potonjeg je situacija još lakša, jer se lozinka sastoji od samo osam cifara, što napadaču daje razmak od 108.
To je lepo, sad je pitanje, kada neko koristi hotspot.... Da li ima odgovarajuće znanje, pa automatski menja lozinku za svoju pogodnost, zar ne?