标签: 暴力破解

去年，一位比利时 KU Leuven 大学的资安研究员发现了 Wi-Fi CERTIFIED WPA2 的安全漏洞，并设计了一套黑客软件（ Key Reinstallation Attacks; KRACKs ），以 非暴力破解 密码的方式拦截用户的上网数据，成功窃取如信用卡号、私人帐户及密码、电子邮件、照片、及聊天纪录等隐私信息。 事件爆发后， Wi-Fi 联盟（ Wi-Fi Alliance ）已紧急召开会员大会，并 提出相关解决方案 。身为联盟长期授权的 第三方检测中心 ，我们将带您回顾去年的 全球 Wi- Fi 大风 暴 。 Wi-Fi Protected Access 2 是 Wi-Fi 联盟用来保护 受认证装置上网数据 所设计的安全系统。一般来说，用户的终端装置须输入预先配置好的「密钥」来与 Wi-Fi 路由器进行沟通；待进入 四向交握 （ Four-Way Handshake ）的阶段来确认彼此的安全信息后， WPA2 便能对网络封包进行 加密 ，保护用户数据安全。 终端装置须输入预先配置好的「密钥」 然而就在这个四面交握的沟通过程中，研究员发现：「在四面交握的最后阶段，某些路由器在未接收到终端装置确认的响应时，会 不断重新传送 那些应该用过即丢的加密密钥至终端装置；黑客因此能利用 不断回放 的方式，设法 置换 并 插入 空白的密钥（ All-Zero Encryption Key ），以窃取或窜改通讯内容」。 通常遭置换的密钥位在第三次的沟通过程 (Message3) 为了防止 Wi-Fi 设备受到 KRACKs 攻击， Wi-Fi 联盟提供了一款 漏洞检测工具 「 Security Vulnerability Detection Tool 」给授权实验室。此测试工具主要用来验证：当终端装置与路由器在 达成联机协议前 所进行的「 4-Way Handshake 」与「 Group Key Handshake 」失败时，双方是否能在 重新沟通时建立新的密钥 。 SVD 能精确监测沟通状态，并判定相关产品是否容易受到此安全漏洞影响。 此外， Wi-Fi 也预计将在 Q2 前发布新的 WPA3 认证测试标准，加强用户上网安全。百佳泰身为在 亚洲唯 一 能执行 Wi-Fi 全系列认证 的授权第三方检测中心，将持续提供您最实时的 Wi-Fi 认证咨询服务以及相关测试解决方案。