WPA2 unsicher

ext23 · 16 Oktober 2017, 10:17:10

Da freuen sich sicher viele ESP IoT Nutzer, und andere natürlich...

https://www.google.de/amp/s/www.theregister.co.uk/AMP/2017/10/16/wpa2_inscure_krackattack/

/Daniel

eisman · 16 Oktober 2017, 14:45:40

hi,

mal ehrlich, es gibt nur ein sicheres Netzwerk und das ist offline!
Ist auch bei Computer,Handy usw. so, kein Strom kein ärger.
alles andere ist Panik mache.

fg

bjoernbo · 16 Oktober 2017, 15:06:42

Der Angriff erfolgt nicht übers Internet. Der Angreifer muss sich schon in deiner WLAN Umgebung befinden. Es ist davon auszugehen, dass es nicht lange dauern wird, bis die Lücke geschlossen ist. Zudem werden https Seiten nochmal seperat verschlüsselt.

viegener · 16 Oktober 2017, 15:12:52

Damit ist ein ESP im WLAN mit WPA2 immer noch deutlich sicherer als FS20, Intertechno, Somfy, etc und auch fast alle Homematic-Installationen...

Und da man sich ja wohl auf derselben Basisstation befinden muss, halte ich das wirklich für ein theoretisches Problem in den meisten FHEM-Installationen, denn ein Hausbewohner kann bei mir noch viel mehr als nur die WLAN-Devices angreifen - Er könnte meinen Raspi einfach einstecken oder gar das Haus abfackeln (das könnte jemand sogar von aussen)

herrmannj · 16 Oktober 2017, 15:15:49

Merke: außer einem Aluhut

gibt es keine 100% Sicherheit. Je mehr Technik (-> Komfort) desto mehr "Verwundbarkeit"

sku · 16 Oktober 2017, 16:35:53

https://www.golem.de/news/wlan-wpa-2-ist-kaputt-aber-nicht-gebrochen-1710-130636.html

Soweit ich das verstehe, kommt man nicht ins WLAN hinein, sondern kann "nur" den Traffic eines (dessen Anmeldevorgang man manipuliert?) Client mitlesen.

ext23 · 16 Oktober 2017, 21:14:55

Naja oder eben IPSec nutzen und auf den ganzen WPA misst verzichten. Ich meine knacken konnte man es ja wohl eh schon lange, man brauchte nur reichlich richtige Pakete und viel Zeit. Daher soll man ja auch öfters seine WPA Passwörter ändern. Solange man für den ganzen ESP Kram ein extra Netz nimmt geht es ja auch, aber ich sehe schon, dass es eine Frage der Zeit ist, bis es Tools für jedermann gibt und dann wird es kritisch. Zumindest für die, die sich nicht unbedingt im Detail auskennen mit solchen Themen, und da zähle ich auch hier den Großteil zu. Das blöde ist ja auch, dass die billigen IoT Geräte kein Enterprise WPA können. Sprich viele ändern vermutlich ihre WPA Passwörter nie weil man das natürlich nicht auf allen 100 Geräten jeden Monat machen möchte, versteht man ja auch.

/Daniel

schnitzelbrain · 16 Oktober 2017, 21:38:26

Für die Fachleute unter uns und wen es interessiert :

https://www.krackattacks.com

Vom Entdecker selbst.

Grüße
Schnitzelbrain

Gesendet von meinem SM-G930F mit Tapatalk

sku · 16 Oktober 2017, 21:52:10

Zitat von: ext23 am 16 Oktober 2017, 21:14:55
Naja oder eben IPSec nutzen und auf den ganzen WPA misst verzichten. Ich meine knacken konnte man es ja wohl eh schon lange, man brauchte nur reichlich richtige Pakete und viel Zeit. Daher soll man ja auch öfters seine WPA Passwörter ändern. [...] Das blöde ist ja auch, dass die billigen IoT Geräte kein Enterprise WPA können. Sprich viele ändern vermutlich ihre WPA Passwörter nie weil man das natürlich nicht auf allen 100 Geräten jeden Monat machen möchte, versteht man ja auch.

Oder einfach ein 63 Zeichen Passwort aus einem Generator?
Ich wollte mal enterprise WPA einrichten (mit Zertifikatserver, ist doch enterprise?), hab nach den Vorteilen gegoogelt und im Endeffekt kam raus, dass zertifikatbasiertes WLAN in etwa so sicher ist wie ein 63 Zeichen PWD.

Neuhier · 17 Oktober 2017, 22:19:41

Als kurzer Hinweis:

Zitathttps://www.debian.org/security/2017/dsa-3999

Für u.a. den RPi liegt dort schonmal ein Update.....

Wuppi68 · 18 Oktober 2017, 00:21:57

Zitat von: sku am 16 Oktober 2017, 21:52:10
Oder einfach ein 63 Zeichen Passwort aus einem Generator?
Ich wollte mal enterprise WPA einrichten (mit Zertifikatserver, ist doch enterprise?), hab nach den Vorteilen gegoogelt und im Endeffekt kam raus, dass zertifikatbasiertes WLAN in etwa so sicher ist wie ein 63 Zeichen PWD.

Zertifikate sind gut
Radius Authentifizierung auch
Lange PWs erst recht

nur wie sage ich es der XBox, den Sonos Playern, meiner Heizung, meine Webcam, meinem Blueray Player, Thermomix, von dem ganzen IOT Dingern gar nicht zu reden

meistens geht halt nur der kleinste gemeinsame Nenner und der ist - richtig - WPA2 - oder Kabel

sku · 18 Oktober 2017, 10:57:23

Zitat von: Wuppi68 am 18 Oktober 2017, 00:21:57
nur wie sage ich es der XBox, den Sonos Playern, meiner Heizung, meine Webcam, meinem Blueray Player, Thermomix, von dem ganzen IOT Dingern gar nicht zu reden

63 Zeichen in sowas eintippen ist auch mühsam

Musste ich zum Glück noch nie:
Bei der Harmony copy/paste am PC.
Bei Handies übertrage ich den Key per USB Stick oder Nextcloud.
Rest hat Kabel.
Wlan Steckdosen (ESPEasy) werden auch per PC konfiguriert und haben bei mir sowieso ein eigene WLAN ohne Internetzugang.