大多数发烧友真的有可能破解人们的Wi-Fi网络吗？

#1 楼

无需争论语义，是的，声明是正确的。
WIFI加密有多种标准，包括WEP，WPA和WPA2。 WEP受到了威胁，因此，即使您使用强密码，也可能会轻易破坏它。我相信，虽然WPA很难破解（但是您可能会遇到与WPS相关的安全性问题，而绕过此问题），并且自2017年10月起，WPA2还提供了可疑的安全性。另外，即使是相当硬的密码也可以被强行使用-Moxie Marlinspike-著名的黑客提供了一项使用云计算的服务，价格为17美元-尽管并不能保证。阻止WIFI端的某人通过路由器传输数据，这是无关紧要的。
隐藏的网络是一个神话-尽管存在使网络不出现在站点列表中的框，但客户端信标WIFI路由器MAC过滤是一个玩笑，因为可以对许多（大多数/全部？）WIFI设备进行编程/重新编程以克隆现有的MAC地址并绕过MAC过滤。
网络安全是这是一个大问题，不是超级用户问题所能解决的问题，但基础知识是安全性是分层构建的，因此即使某些漏洞被破坏，也并非全部都是-而且，只要有足够的时间，资源和知识，任何系统都可以被渗透。安全实际上不是“可以被黑客入侵”，但是“需要多长时间”才能被黑客入侵。 WPA和安全密码可防止“ Joe Average”。
如果您想加强对WIFI网络的保护，则可以将其仅视为传输层，并对经过该层的所有内容进行加密和过滤。对于大多数人来说，这太过分了，但是您可以采用的一种方法是将路由器设置为仅允许访问您控制下的给定VPN服务器，并要求每个客户端通过VPN上的WIFI连接进行身份验证-因此，即使WIFI受到威胁，也要击败其他[更难]的层。在大型公司环境中，这种行为的一部分并不罕见。
更好地保护家庭网络的一种更简单的选择是完全放弃WIFI，只需要有线解决方案。如果您有手机或平板电脑之类的东西，则可能不切实际。在这种情况下，您可以通过降低路由器的信号强度来减轻风险（一定不能消除风险）。您还可以屏蔽房屋，以减少频率泄漏-我还没有做到，但有谣言（经研究）表明，即使房屋外部的铝网（如防蝇网）也能良好接地会逃逸的信号量的差异。 [但是，当然，再见的手机覆盖范围]
在保护方面，另一种选择可能是让您的路由器（如果能够这样做，则大多数都不会，但是我想路由器正在运行openwrt以及可能的Tomato / dd-wrt可以记录遍历您的网络并监视它的所有数据包-地狱，即使只是监视各种接口进出总字节的异常也可以为您提供良好的保护。 br />归根结底，也许要问的问题是“我该怎么做才能使不值得随意的黑客入侵我的网络的时间”或“让我的网络受到破坏的真正代价是什么” ，然后从那里去。没有快速简便的答案。
更新-2017年10月
大多数使用WPA2的客户端（除非进行了修补）都可以使用“密钥重新安装攻击-KRACK”以明文形式公开其流量，这是WPA2标准的一个弱点。值得注意的是，这不能访问网络或PSK，而只能访问目标设备的流量。

#2 楼

就像其他人说的那样，隐藏SSID很容易。实际上，即使您的网络没有广播其SSID，它也会默认显示在Windows 8网络列表中。网络仍然通过信标帧广播其存在。如果选中该选项，它只是在信标帧中不包含SSID。从现有网络流量中获取SSID并不容易。

MAC过滤也不是非常有用。它可能会暂时减慢下载WEP破解程序的脚本小子的速度，但绝对不会阻止任何知道自己在做什么的人，因为他们只能欺骗合法的MAC地址。

到目前为止就WEP而言，它已完全损坏。您的密码强度在这里无关紧要。如果您使用的是WEP，则即使您拥有强大的密码，任何人都可以下载将很快打入您网络的软件。

WPA比WEP安全得多，但仍然被认为是安全的。破碎。如果您的硬件支持WPA但不支持WPA2，那总比没有好，但是确定的用户可以使用正确的工具来破解它。

WPS（无线保护设置）是网络安全的祸根。无论您使用哪种网络加密技术，都请禁用它。

WPA2（尤其是使用AES的版本）非常安全。如果您有一个不错的密码，那么您的朋友在没有获得密码的情况下不会进入您的WPA2安全网络。现在，如果NSA试图进入您的网络，那是另一回事。然后，您应该完全关闭无线设备。可能还有您的Internet连接和所有计算机。如果有足够的时间和资源，WPA2（以及其他任何东西）可能会被黑客入侵，但它可能需要比普通的业余爱好者更多的时间和更多的功能。

正如大卫所说，真正的问题不在于“可以被黑客入侵吗？”但是，相反，“拥有一套特定功能的人需要多长时间才能破解它？”显然，该问题的答案在特定的功能集方面有很大的不同。他也绝对正确地认为安全性应该分层进行。您关心的东西不应该先加密就不能通过网络。因此，如果有人确实闯入了您的无线设备，那么他们可能除了使用您的Internet连接之外，还无法进入其他有意义的事情。任何需要确保安全的通信仍应使用可能通过TLS或某些此类PKI方案设置的强大加密算法（例如AES）。确保您的电子邮件和其他任何敏感的网络通信都经过加密，并且没有适当的身份验证系统，您还没有在计算机上运行任何服务（例如文件或打印机共享）。


Update 2017年10月17日-此答案反映了在最近发现一个同时影响WPA和WPA2的重大新漏洞之前的情况。密钥重新安装附件（KRACK）利用了Wi-Fi握手协议中的漏洞。无需深入研究混乱的密码学细节（您可以在链接的网站上找到），在修补所有Wi-Fi网络之前，无论它们使用的是哪种特定的加密算法，都应视为已断开。

有关KRACK的相关InfoSec.SE问题：WPA2 KRACK攻击的后果当我买不起VPN时如何保护自己免受KRACK的侵害？

#3 楼

由于此线程上的其他答案都不错，我认为，对于那些要求具体答案的人（嗯……这是SuperUser，不是吗？），问题可以轻松地翻译为：“我应该知道什么才能使我的WiFi网络是安全的吗？”。
在没有否定（也没有确认）任何其他答案的情况下，这是我的简短答案：

密码学家布鲁斯·谢尼叶（Bruce Schenier）的话对于许多用户而言可能是值得建议的要记住：


唯一真正的解决方案是拔掉电源线。


这通常可以应用于无线网络：我们经常
许多路由器都有一个WiFi按钮来启用/禁用无线功能，例如D-Link DSL-2640B。
如果没有，您可以始终使用以下工具自动执行Web启用/禁用无线功能Windows上的iMacros（可作为Firefox的扩展或独立程序使用），在Linux上为许多其他工具。

这是创建WPA（请忘记WEP）密码的两个技巧（一个好的WPA密码将使攻击变得非常困难）创建（不保留默认密码）：


使用不存在的和/或外来词：SilbeasterStallonarius，Armorgeddon，HomecitusSapiensante（因为无法使用简单的词典来找到它们）。
创建自己的易于记忆（至少对您来说）的句子并通过使用每个单词的第一个字符来定义密码。结果将是一个难以破解的密码（最少8个字符），但易于记住的密码，包括大写和小写字母，数字和一些其他非字母字符：
”您有两个儿子和3只猫，并且你爱他们。” ->“ Yh2sa3c，aylt。”

为了上帝，现在就禁用WPS！这是完全有缺陷的。

#4 楼

您提到的所有内容（除了网络密码外）都不会真正影响Wi-Fi网络的入侵。由于存在MAC地址过滤器和隐藏的SSID，因此对安全性没有任何帮助。

真正重要的是网络上使用的加密类型。像WEP这样的较旧的网络加密很容易被破解，因为只要有足够的流量，您就可以解码它们，并且可以强制它们生成所需的流量。

像WPA2这样的较新的加密方法更加安全。现在，没有任何东西可以“对抗”所有对手，但这对于家庭Wi-Fi来说通常就足够了。

这是一个很大的话题，虽然触及了冰山一角，但希望能有所帮助。

#5 楼

WEP和WPA1 / 2（启用WPS）可以被微不足道；前者使用捕获的IV，后者使用WPS PIN暴力破解（仅3个部分使用11,000种可能的组合； 4位数字[10,000种可能] + 3位数字[1,000种可能] + 1位校验和[由其余部分计算]） 。

WPA1 / 2的密码设置更严格，但是使用GPU破解和蛮力技术可以破坏一些较弱的应用。我的工作网络上的WPS（经允许，我正在向雇主演示该漏洞），但我尚未成功破解WPA。

#6 楼

这是一个很大的问题，拥有非常安全的无线网络的准则应该是众所周知的。配置路由器/网关/ AP，以便：


无线安全仅适用于WPA2
加密仅适用于AES
使用包含多个单词的预共享密钥（例如IloveSuperUser）
禁用WPS
禁用远程管理

就这样！出于所有实际目的，您现在拥有了完全安全的无线网络。

#7 楼

在思科学习网络论坛上，一个线程启动程序询问：


是否可以破解WPA / TKIP？我旅馆的某个人用完了80份数据，或者附近某人破解了密码并使用了它。我怀疑旅馆中有人，因为我很难相信WPA / TKIP会被破解，即使可以破解也很难。破解WPA / TKIP到底有多困难？我仍然想为他们更改密码，我可以使用-和_和吗？字符？ 。

特别是从他的帖子中大约三分之二的地方开始阅读，他以“解决方案：”开头。

我正在使用我的网关的“ WPA-PSK（TKIP）/ WPA2-PSK（AES）”设置。为了与Zach的发布保持一致...


将路由器的名称更改为唯一的名称。您的WLAN请求方会将您的ESSID用作PMK上的加密盐。更改此设置将消除计算前攻击。


...我长期以来一直使用自己的唯一ESSID。此外，为了与他保持一致...


设置一个包含唯一字符，数字和大写字母的唯一密码。多个单词和小写字母。这比长度更重要。增加密码的长度只会增加密码的强度，但不必太长
。力量在于潜力的变化。这将消除字典攻击，并在没有超级计算机的情况下使暴力破解成为不可能。


... mine是25个字符，由字母，数字，大写和小写字母和特殊的角色。它的任何部分都不会拼写任何东西。

我在做Zach要做和不列举的其他几件事；但除了上述内容，并说了其他话，至少是按照他在这里写的精神...


启用详细的日志记录，并在可能的情况下将其转发到您的电子邮件中。


...我很早以前就编写了一些脚本代码，这些代码可以在Windows启动时自动启动，并且只在系统托盘中运行；全天定期刷新哪些代码，然后解析我的网关中的网页，其中列出了所有已连接的设备；然后它告诉我，这是在台式机，笔记本电脑和台式机上弹出的带有三声蜂鸣声的主板扬声器（不是普通的音频扬声器，以防万一它们静音了）。屏幕，也可以通过短信发送到我的手机（位于我腰带上的一个小袋中，或者离我至少不超过5英尺（24/7/365），如果出现了新情况。

对于那些没有这种技能的人，那里有几个“谁在我的WI-FI上”类型的应用程序，其中一些是免费的。一个好简单的人是[这个坏男孩] [3]。只需使用Windows自动启动它，将其放到系统托盘中，并告诉它“在新设备上蜂拥而至”，您将获得与我的脚本相似的内容（除了它不会发送短信给您）。但是，使用[简单的脚本工具] [5]，当LAN上的新设备使应用程序发出哔哔声时，您可以使SMS或电子邮件发送到您的手机。

希望有所帮助。

#8 楼

任何安全分析的另一个考虑因素是需要保护的资产，以及这些资产对所有者和潜在攻击者的价值。我猜想您的银行登录信息，信用卡号和其他登录凭据可能是通过家庭网络传输的最有价值的信息，并且大多数信息应通过https连接进行TLS / SSL加密处理。因此，如果您在wifi路由器上使用WPA2密钥，并确保您的浏览器尽可能使用https（在各处都使用eff's https之类的工具），那似乎很安全。 （潜在的攻击者将不得不破解WPA2密钥，以获取可能无法通过https或浏览的http页面访问的密码。）

#9 楼

令人怀疑。

我不同意大卫的回答。尽管对此进行了充分的研究并且我同意他的大部分信息，但我认为这有些悲观。

其他答案中已经涵盖了WPA2中的漏洞。但是，这些都不是不可避免的。

特别要注意的是，davidgo提到的蛮力攻击是对MS-CHAPv2弱点的攻击。请参阅引用的作者参考[https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v​​2/]。如果不使用Ms-CHAP，则无法利用此弱点。
（根据作者的评论删除-错误的参考文献）

使用正确的口令，SSID并避免技术受到损害，我看到没有理由为什么目前使用AES256的WPA2安全网络不安全。对这样的网络进行蛮力攻击是不可行的，甚至Moxy Marlinspike都建议这样做。

但是，我同意davidgo的回答是，大多数用户没有做出这些努力。我知道我自己的家庭网络可以被利用，即使我知道如何修复它，但这也不值得我花时间和精力。