一般的な英語の単語のパスワードハッシュをWPA2キーとして使用することはどれくらい安全ですか?


5

ワイヤレスルーターを使用していますが、覚えやすいパスワードが必要です。

MD5、SHA-1、SHA-256、または「スーパーユーザー」などの一般的な英単語のハッシュを取得し、そのハッシュをWPA2キーとして使用するというアイデアを思いつきました。

たとえば、「スーパーユーザー」が私の選択の言葉だったとしましょう。SHA-1にハッシュを含めることを選択した場合、WPA2キーをに設定します8e67bb26b358e2ed20fe552ed6fb832f397a507d

これは安全な習慣ですか?キーでは一般的な英語の単語が(ある意味では)使用されていますが、キー自体は実際には長くて複雑な16進文字列です。


1
今あなたがそれを:)言及したことを確保していない
RCIX

回答:


4

「長いWPA2」キーをどのように生成したかを明らかにした場合を除き(これは実行したばかりです)、通常は非常に安全な複雑な16進文字列です。誰かがあなたが「一般的な英語の単語を」使用していたことを知っていたし、キーとしてその単語のハッシュを使用した場合一方、誰もがすぐに辞書からハッシュのシーケンスを再生成する可能性があり、としてそれを使用するレインボーテーブル破るためにあなたのパスワードを非常に迅速に。

「まだ覚えやすい難しいパスワード」を探しているなら、あなたにとっては何かを意味するが他の人には簡単に推測されないより長いパスフレーズを考え出してみてはいかがですか。それは、広範囲にわたるレインボーテーブルを本質的に役に立たなくするでしょう。フレーズ(つまり、一連の単語、文など)で始まり、あなたにとって何か意味する数字のシーケンスを混ぜ(誕生日、電話番号などを避け)、そのように「覚えやすい」長いキーを生成します。 。


これについては、ウィルとロバートと一緒です。パスフレーズは、一般的に、パスよりも安全である単語 -ちょうどの長さは、そのはるかに困難あなたのフレーズを推測することができます。
DaveParillo

1
英語の単語のハッシュがランダムなテキスト文字列ではないことを除いて、私はほとんど同意します。それは、英語の単語のハッシュです。言い換えると、提案された方法はキースペースを拡大しませんが、広範囲にわたるレインボーテーブルを役に立たなくします。レインボーテーブルを生成するのはそれほど簡単ではないという事実を考えると、これは良いことです。キースペースを拡大するには、パスワードをソルトで暗号化することを検討してください。
ルートヴィヒワインツィール

2

誰にも言わない限り、他のキーと同じくらい安全です。

一日の終わりには、キーは0〜9、af ...を使用します。これは、26を与えるazだけでなく、実際には16文字しか使用できません。したがって、私はSHA-1を使用しています」と、あなたは実際に彼らのブルートフォースの組み合わせをかなり減らしています。

個人的には、大文字と小文字を混ぜて通常の長い単語を入力してから、ランダムな数字と記号を挿入する方がはるかに良いと思います。


確かに、「いくつかのランダムな数字と記号を投げる」ことは、覚えやすくすることに大きく貢献しないと言えます。いくつかの非乱数を投げてみてください;-)
DaveParillo 09年

正しい-しかし、SHA-1キーはいつ覚えやすいのですか?
ウィリアムヒルサム2009年

興味深い点は... a)単語をソルトし、b)sha-256でハッシュし、c)結果を16進数(base-16)からbase-26(a..z)またはさらにbase-36(0)に変換します..9、a..z)。
いんちきのキホーテ2009年

個人的には、「this_is!my.password、for2the3week_of30 / 11/09」のような長くてユニークなパスワードを使用するのが最善だと思います...そして、少しずつ異なるように毎週変更してください...問題とクラックするのが難しい!
ウィリアムヒルサム2009年

それも悪い方法ではありません... 2つの間では、個人の好みの問題です。あなたの例は確かに覚えやすいでしょう。
いんちきのキホーテ2009年

1

誰もメソッドを理解できない限り、それは安全です。もちろん、これにはオフィスでの自慢が含まれますが、残しておくことができるあらゆる種類の痕跡も含まれます。例として、ランダムなユーザーをネットワークに接続する場合は、おそらく何らかのクライアント側アプリケーションを使用してハッシュを生成します。ランダムユーザーecho "superuser" | sha1sumがログにあることに気付いた場合、2つを追加するのはそれほど難しくありません。

ハッシュを外部で生成する必要があるため、利便性の多くは失われます。一般に、一般的な単語のハッシュはセミランダムキーをすばやく生成するための許容可能な方法かもしれませんが、弱点をもたらさないためには、入力時にキーをコピーまたは記憶する必要があります。

私が考えることができる他の唯一の利益は、失われた場合、キー/フレーズ/パスワードを簡単に再現できることです。上記のセキュリティ対策が講じられている場合、ハッシュされた単語をキーとして使用しない理由はありません。


0

これは、あいまいさによるセキュリティの実例です。あなたが安全であると仮定する場合、またはあなたの場合、このプロセスなしでパスワードを入力したばかりのユーザーよりも安全であると仮定する場合。

本当の問題は、セキュリティの誤った認識です。たとえば、SHA1の結果をWPA2パスワードとして使用して、弱いパスワード、たとえば12345678を使用すると、WPA2ハッシュを解読することはほとんど不可能になります。したがって、ユーザーは通常、誰かがそれを解読できる可能性について気にしませんが、誰かがあなたの隠された秘密を知るとすぐに、ハッシュは簡単に解読されます。強力なパスワードを適切に選択すれば、たとえあなたの秘密が危険にさらされたとしても、心配する必要はありません。良いパスワードは、攻撃者が待つよりもはるかに長い時間をかけて解読されます。

それは私たちを質問に導きます、不明瞭さによるセキュリティはそれほど悪いですか?私見、はい、それはセキュリティの誤った感覚、自動化された低品質のペンテストツールがスキャン後に脆弱性を示さないとき、またはアンチウイルスが実行可能ファイルがクリーンであると言うときにもたらす同じ感覚のためです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.