Daniele Hruska Se utilizzi la password di sicurezza predefinita per connetterti a un hotspot personale che hai creato, dovresti considerare di cambiarla. I ricercatori tedeschi dell'Università di Erlagen affermano di essere in grado di decifrarlo in meno di un minuto.
V documento con nome Usabilità vs. sicurezza: l'eterno compromesso nel contesto degli hotspot mobili iOS di Apple i ricercatori di Enlargen dimostrano la generazione di password predefinite deboli per un hotspot personale. Dimostrano le loro affermazioni sulla suscettibilità ad un attacco di forza bruta quando stabiliscono una connessione con WPA2.
Il documento afferma che iOS genera password sulla base di un elenco di parole contenente circa 52 voci, tuttavia, secondo quanto riferito, iOS si basa solo su 200 di esse. Inoltre, l'intero processo di scelta delle parole dall'elenco non è sufficientemente casuale, il che porta alla loro distribuzione non uniforme nella password generata. Ed è questa cattiva distribuzione che consente il cracking delle password.
Utilizzando un cluster di quattro schede grafiche AMD Radeon HD 7970, i ricercatori dell'Università di Erlagen sono riusciti a decifrare le password con un allarmante tasso di successo del 100%. Durante l'intero esperimento, sono riusciti a comprimere il tempo di passaggio da meno di un minuto, a 50 secondi esatti.
Oltre all'uso non autorizzato di Internet da un dispositivo connesso, è possibile ottenere anche l'accesso ai servizi in esecuzione su quel dispositivo. Gli esempi includono AirDrive HD e altre applicazioni di condivisione di contenuti wireless. E non si tratta solo del dispositivo su cui viene creato l'hotspot personale, ma possono esserne interessati anche altri dispositivi collegati.
La cosa più grave in questa situazione è probabilmente il fatto che l’intero processo di cracking della password può essere completamente automatizzato. È stata creata un'app come prova Cracker dell'hotspot. La potenza di calcolo necessaria per il metodo della forza bruta può essere facilmente ottenuta tramite cloud da altri dispositivi.
L'intero problema deriva dal fatto che i produttori tendono a creare password quanto più facili da ricordare possibile. L'unica via d'uscita è quindi generare password del tutto casuali, poiché non è necessario ricordarle. Una volta accoppiato un dispositivo, non è necessario inserirlo nuovamente.
Tuttavia, secondo il documento, è possibile violare la password in modo simile su Android e Windows Phone 8. Con il secondo la situazione è ancora più semplice, perché la password è composta da sole otto cifre, che lasciano uno spazio all'aggressore di 108.
Che bello, ora la domanda è: quando qualcuno usa l'hotspot... ha le conoscenze adeguate per cambiare automaticamente la password per sua comodità, giusto?