agwebrunner.com

El WPA2 amb una contrasenya segura és segur sempre que desactiveu WPS. Trobareu aquest consell a les guies per protegir la vostra connexió Wi-Fi a tot el web. La configuració protegida per Wi-Fi va ser una bona idea, però utilitzar-lo és un error.

Probablement el vostre encaminador admet WPS i és probable que estigui activat per defecte. Igual que UPnP, aquesta és una característica insegura que fa que la vostra xarxa sense fils sigui més vulnerable als atacs.

Què és la configuració protegida per Wi-Fi?

RELACIONATS:La diferència entre les contrasenyes Wi-Fi WEP, WPA i WPA2

La majoria d’usuaris domèstics haurien d’utilitzar WPA2-Personal, també conegut com a WPA2-PSK. El "PSK" significa "clau precompartida". Configureu una frase de contrasenya sense fils al router i, a continuació, proporcioneu la mateixa frase de contrasenya a cada dispositiu que connecteu a la vostra xarxa WI-Fi. Això bàsicament us proporciona una contrasenya que protegeix la vostra xarxa Wi-Fi d’accessos no autoritzats. El router obté una clau de xifratge de la vostra frase de contrasenya, que utilitza per xifrar el trànsit de la vostra xarxa sense fils per garantir que les persones sense la clau no puguin escoltar-la.

Això pot resultar una mica incòmode, ja que heu d'introduir la vostra frase de contrasenya a cada dispositiu nou que connecteu. La configuració protegida Wi-FI (WPS) es va crear per resoldre aquest problema. Quan us connecteu a un enrutador amb WPS activat, veureu un missatge que us indica que podeu utilitzar una manera més fàcil de connectar-vos en lloc d’introduir la vostra contrasenya Wi-Fi.

Per què la configuració protegida per Wi-Fi no és segura?

Hi ha diverses maneres d'implementar la configuració protegida per Wi-Fi:

PIN: L'encaminador té un PIN de vuit dígits que heu d'introduir als vostres dispositius per connectar-vos. En lloc de comprovar el PIN sencer de vuit dígits alhora, l’encaminador comprova els primers quatre dígits per separat dels darrers quatre dígits. Això fa que els PIN WPS siguin molt fàcils de "forçar" en endevinar diferents combinacions. Només hi ha 11.000 codis possibles de quatre dígits i, una vegada que el programari de força bruta aconsegueix els primers quatre dígits, l’atacant pot passar a la resta de dígits. Molts routers de consum no s’espera després que s’ofereixi un PIN WPS incorrecte, cosa que permet als atacants endevinar una i altra vegada. Un PIN WPS es pot forçar brutes en aproximadament un dia. [Font] Qualsevol persona pot utilitzar un programari anomenat "Reaver" per trencar un PIN WPS.

Botó de connexió: En lloc d’introduir un PIN o una frase de contrasenya, només cal prémer un botó físic del router després d’intentar connectar-se. (El botó també pot ser un botó de programari en una pantalla de configuració.) És més segur, ja que els dispositius només es poden connectar amb aquest mètode uns minuts després de prémer el botó o després de connectar-se un sol dispositiu. No estarà actiu i disponible per explotar-lo tot el temps, ja que és un PIN WPS. La connexió amb botó premut sembla en gran mesura segura, sent l’única vulnerabilitat que qualsevol persona amb accés físic al router podria prémer el botó i connectar-se, fins i tot si no coneixés la frase de contrasenya Wi-Fi.

El PIN és obligatori

Tot i que, sens dubte, la connexió amb botons és segura, el mètode d’autenticació del PIN és el mètode de base obligatori que han de ser compatibles amb tots els dispositius WPS certificats. És cert: l’especificació WPS obliga que els dispositius han d’implementar el mètode d’autenticació més insegur.

Els fabricants d’encaminadors no poden solucionar aquest problema de seguretat perquè l’especificació WPS requereix el mètode insegur de comprovació dels PIN. Qualsevol dispositiu que implementi configuració protegida per Wi-Fi de conformitat amb l’especificació serà vulnerable. L'especificació en si no és bona.

Podeu desactivar WPS?

Hi ha diversos tipus d’encaminadors diferents.

• Alguns routers no us permeten desactivar WPS, ja que no proporcionen cap opció a les seves interfícies de configuració per fer-ho.
• Alguns routers ofereixen una opció per desactivar WPS, però aquesta opció no fa res i WPS encara està habilitat sense el vostre coneixement. El 2012, aquest defecte es va trobar a "tots els punts d'accés sense fils Linksys i Cisco Valet ... provats". [Font]
• Alguns enrutadors us permetran desactivar o habilitar WPS, sense oferir cap mètode d’autenticació.
• Alguns enrutadors us permetran desactivar l’autenticació WPS basada en PIN mentre encara utilitzeu l’autenticació amb botons.
• Alguns routers no admeten WPS en absolut. Aquests són probablement els més segurs.

Com desactivar WPS

RELACIONATS:UPnP és un risc de seguretat?

Si el vostre encaminador us permet desactivar WPS, és probable que trobeu aquesta opció a Configuració protegida per Wi-Fi o WPS a la seva interfície de configuració basada en web.

Com a mínim, haureu de desactivar l’opció d’autenticació basada en PIN. En molts dispositius, només podreu triar si voleu activar o desactivar WPS. Trieu desactivar WPS si és l’única opció que podeu fer.

Estaríem una mica preocupats per deixar WPS activat, fins i tot si sembla que l'opció PIN està desactivada. Tenint en compte el terrible historial de fabricants d’encaminadors quan es tracta de WPS i altres funcions insegures com UPnP, no és possible que algunes implementacions de WPS continuïn fent que l’autenticació basada en PIN estigui disponible fins i tot quan semblés estar desactivada?

Per descomptat, teòricament podries estar segur amb el WPS activat sempre que l’autenticació basada en PIN estigui desactivada, però per què arriscar-te? Tot el que realment fa WPS és permetre't connectar-vos a la Wi-Fi més fàcilment. Si creeu una frase de contrasenya que recordeu fàcilment, hauríeu de poder connectar-vos tan ràpidament. I això només és un problema la primera vegada: un cop hàgiu connectat un dispositiu una vegada, no hauríeu de tornar a fer-ho. WPS és tremendament arriscat per a una característica que ofereix un benefici tan petit.

Crèdit de la imatge: Jeff Keyzer a Flickr