Daniel Hruska Wenn Sie das Standardsicherheitskennwort verwenden, um eine Verbindung zu einem von Ihnen erstellten persönlichen Hotspot herzustellen, sollten Sie eine Änderung in Betracht ziehen. Deutsche Forscher der Universität Erlagen behaupten, es in weniger als einer Minute knacken zu können.
V dokumentieren mit Namen Benutzerfreundlichkeit vs. Sicherheit: Der ewige Kompromiss im Zusammenhang mit Apples mobilen iOS-Hotspots Forscher von Enlargen demonstrieren die Generierung schwacher Standardkennwörter für einen persönlichen Hotspot. Sie belegen ihre Behauptungen zur Anfälligkeit für einen Brute-Force-Angriff beim Verbindungsaufbau mit WPA2.
In dem Papier heißt es, dass iOS Passwörter auf der Grundlage einer Wortliste mit etwa 52 Einträgen generiert, iOS verlässt sich Berichten zufolge jedoch nur auf 200 davon. Darüber hinaus ist der gesamte Prozess der Auswahl von Wörtern aus der Liste nicht ausreichend zufällig, was zu einer ungleichmäßigen Verteilung im generierten Passwort führt. Und es ist diese schlechte Distribution, die das Knacken von Passwörtern ermöglicht.
Mithilfe eines Clusters aus vier AMD Radeon HD 7970-Grafikkarten konnten Forscher der Universität Erlagen Passwörter mit einer alarmierenden Erfolgsquote von 100 % knacken. Während des gesamten Experiments konnten sie die Durchbruchszeit auf unter eine Minute, auf genau 50 Sekunden, verkürzen.
Neben der unbefugten Nutzung des Internets von einem angeschlossenen Gerät aus kann auch Zugriff auf Dienste erlangt werden, die auf diesem Gerät ausgeführt werden. Beispiele hierfür sind AirDrive HD und andere Anwendungen zur drahtlosen Inhaltsfreigabe. Und nicht nur das Gerät, auf dem der persönliche Hotspot erstellt wird, auch andere angeschlossene Geräte können betroffen sein.
Das Schlimmste an der gegebenen Situation ist wohl die Tatsache, dass der gesamte Prozess des Passwortknackens vollständig automatisiert werden kann. Als Beweis wurde eine App erstellt Hotspot-Cracker. Die für die Brute-Force-Methode benötigte Rechenleistung kann problemlos über die Cloud von anderen Geräten bezogen werden.
Das ganze Problem ergibt sich aus der Tatsache, dass Hersteller dazu neigen, möglichst einprägsame Passwörter zu erstellen. Der einzige Ausweg besteht dann darin, völlig zufällige Passwörter zu generieren, da man sich diese nicht merken muss. Sobald Sie ein Gerät gekoppelt haben, müssen Sie es nicht erneut eingeben.
Allerdings heißt es in dem Papier, dass es auf ähnliche Weise möglich ist, das Passwort auf Android und Windows Phone 8 zu knacken. Bei der zweiten Variante ist die Situation sogar noch einfacher, da das Passwort nur aus acht Ziffern besteht, was dem Angreifer ein Leerzeichen verschafft von 108.
Das ist schön, jetzt stellt sich die Frage, wenn jemand den Hotspot nutzt ... Hat er das entsprechende Wissen, sodass er das Passwort automatisch für seine eigene Bequemlichkeit ändert, oder?