强WPA2密码对WiFi的安全性“足够好”吗？

Question

我目前正在我的家庭WiFi网络上使用WPA2-PSK和CCMP进行加密和安全。

我非常喜欢MAC过滤，直到我意识到MAC地址在802.11包中是可以公开嗅探的。

考虑到像WiFi这样的程序，WPA2-PSK与CCMP的结合“足够好”吗?这些程序可以像没有明天一样强制使用密码吗？随着我的WiFi密码的熵增加，我是得到了实际的安全好处，还是未经授权的访问不可避免？

Answer 1

简单的回答可能是。

真正的答案完全取决于“足够好”对你意味着什么。

你需要完全不允许WiFi吗？也许你真的需要以太网电缆运行在压力监控屏蔽管道下，在一个接入控制的，视频监控的地板，与暴露的端口上的锁？好吧，这对几乎每个人来说都是过分的，但就快了。

和几乎所有的安全问题一样，你需要进行风险分析。也许不是正式的，但至少要经历你头脑中的风险和成本。

• 未经授权访问的影响是什么？
• 你想保护什么？
• 披露的影响是什么？

在您的例子中，请看一下一些oclHashcat性能基准。您的WPA2密码是多长时间？对于那些“类型”字符(数字、阿尔法、符号等)来说，密码的搜索空间有多大？GRC有一个方便的计算器。

平均而言，攻击者必须搜索一半的搜索空间才能找到您的密码。考虑到他们搜索的速度(这取决于攻击者将提供多少资源)，找到您的密码需要多长时间？

你能忍受吗？你能更经常地修改你的密码吗？你愿意冒这个险吗？

要回答你的具体问题：

• 是的，随着WiFi密码熵的增加，您将以增加密码搜索空间的形式获得安全性好处，并且
• 是的，如果有足够的时间，未经授权访问是不可避免的。

我的工作站点有一个WiFi密码，搜索空间为4.23x10^33。在基准测试中使用的系统上，oclHashcat每秒可以猜出350 k左右的密码。假设攻击者有1,000,000个这些盒子可供使用，或者至少是计算能力的1,000,000倍，他们可以每秒尝试3.5×10^11密码。他们平均要花2x10^14年才能找到密码。对我来说已经够好了。即使他们比平均水平幸运一百万倍，我也会在他们找到密码之前修改密码。

当然，他们在第一次尝试的时候就能猜到。或者在他们猜测的头几分钟里。或者他们可能知道密码可以减少搜索空间(例如，他们知道密码有多长，可以使用哪些字符，前5个字符是什么，等等)。也许WiFi密码是写在白板上，可以从街道的窗口看到，这使得整个讨论变得毫无意义。

再一次，这一切又回到了你所能接受的风险。