Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Вопрос по поводу оптимального интервала обновления ключей Wifi (rekey-interval)

otets-grigoriy

Ответ от otets-grigoriy,

 Поделиться

Вопрос

otets-grigoriy Продвинутый пользователь

otets-grigoriy

Опубликовано
Опубликовано

Добрый день.
Вопрос: какой оптимальный интервал обновления ключа на Wifi необходимо устанавливать для получения максимальной безопасности? При этом без особого ущерба для удобства.
Если выставить значение 3600 мы получим возможные дисконнекты клиентов, что не очень хорошо. Кроме того, за час ни один, даже самый мощный компьютер, не взломает ключ. Особенно если речь идет о пароле на 63 знака и использовании WPA3-шифрования.
Однако если выставить, условно, неделю - это тоже плохо.
Есть ли какие-нибудь данные о том, сколько времени компьютеру требуется на расшифровку ключа? Ну, на перебор всех возможных вариантов. Ту же сложность пароля мы можем проверить на многих сайтах (они нам показывают, сколько лет или месяцев может потребоваться на взлом). Да и посчитать количество вариантов на калькуляторе исходя из используемых символов мы тоже можем, а потом прикинуть среднюю скорость подбора и вычислить итоговое время.
Но с ключом - я не знаю, как это считается.
Вообще, я хотел перестраховаться и выставить вместо ваших 86400 ровно половину - 43200.
Но для глубокого понимания ситуации мне нужны хоть какие-то данные - что, как, зачем. Почем у разработчиками было выбрано именно 86400 секунд.
Можете дать пояснение или накидать литры, где почитать об этом можно?

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

7 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано
1 минуту назад, otets-grigoriy сказал:

Добрый день.
Вопрос: какой оптимальный интервал обновления ключа на Wifi необходимо устанавливать для получения максимальной безопасности? При этом без особого ущерба для удобства.
Если выставить значение 3600 мы получим возможные дисконнекты клиентов, что не очень хорошо. Кроме того, за час ни один, даже самый мощный компьютер, не взломает ключ. Особенно если речь идет о пароле на 63 знака и использовании WPA3-шифрования.
Однако если выставить, условно, неделю - это тоже плохо.
Есть ли какие-нибудь данные о том, сколько времени компьютеру требуется на расшифровку ключа? Ну, на перебор всех возможных вариантов. Ту же сложность пароля мы можем проверить на многих сайтах (они нам показывают, сколько лет или месяцев может потребоваться на взлом). Да и посчитать количество вариантов на калькуляторе исходя из используемых символов мы тоже можем, а потом прикинуть среднюю скорость подбора и вычислить итоговое время.
Но с ключом - я не знаю, как это считается.
Вообще, я хотел перестраховаться и выставить вместо ваших 86400 ровно половину - 43200.
Но для глубокого понимания ситуации мне нужны хоть какие-то данные - что, как, зачем. Почем у разработчиками было выбрано именно 86400 секунд.
Можете дать пояснение или накидать литры, где почитать об этом можно?

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

На форуме уже обсуждали эту тему. Разработчики рекомендуют ставить 86400 (24 аса)

  • 0
otets-grigoriy Продвинутый пользователь

otets-grigoriy

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Илья Картавенко сказал:

На форуме уже обсуждали эту тему. Разработчики рекомендуют ставить 86400 (24 аса)

 

Ссылку можно, если не сложно?

  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано

Смешались в кучу кони, люди...

При использовании WPA2-PSK и отключенном WPS вся ваша безопасность - это ключ сети (passphrase). Немного улучшить ситуацию можно только включив PMF, но в контексте "взлома" это защитит вас только от отправки deauth.

Скрытый SSID - бестолковое и даже в некотором роде вредительское "улучшение".

GTK - это всего лишь общий ключ шифрования бродкаста/мультикаста.

При отключенном WPS, WPA3-SAE+PMF = хренвзломаешь. WPA2-PSK+PMF с длинным ключом - брутфорсить очень долго. Всё остальное - опасная ошибочная видимость безопасности.

  • 0
Werld Старожил

Werld

Опубликовано
Опубликовано
7 часов назад, otets-grigoriy сказал:

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

Любопытно посмотреть как вы такой пароль будете вводить с телефона. Вся эта паранойя от незнания. Если у вас домашний роутер, то даже wpa2-psk с включенным pmf, как написали выше,  будет достаточен при использовании не словарного ключа уже от 12+ символов. Если же у вас корпоративное применение, то нужно использовать wpa2-enterprise с RADIUS-сервером.

  • 0
otets-grigoriy Продвинутый пользователь

otets-grigoriy

Опубликовано
  • Автор
Опубликовано
4 часа назад, werldmgn сказал:

Любопытно посмотреть как вы такой пароль будете вводить с телефона. Вся эта паранойя от незнания. Если у вас домашний роутер, то даже wpa2-psk с включенным pmf, как написали выше,  будет достаточен при использовании не словарного ключа уже от 12+ символов. Если же у вас корпоративное применение, то нужно использовать wpa2-enterprise с RADIUS-сервером.

 

Использую Bluetooth-клавиатуру. Или сканер QR-кода для передачи ТД с другого устройства, на котором она уже есть. В конце концов, мы ведь не каждый день новое устройство регим. А раз в полгода можно и потерпеть)))

Паранойя не то, чтобы от незнания, просто всегда перестраховываюсь. Правда, иногда моя безопасность со мной играет злые шутки - был случай, когда я неделю не мог зайти в свой электронный кошелек из-за установленной защиты по IP-адресу, т.к. провайдер лег, а возможность обхода этой ситуации я не предусмотрел)))

  • 0
otets-grigoriy Продвинутый пользователь

otets-grigoriy

Опубликовано
  • Автор
Опубликовано
5 часов назад, KorDen сказал:

 

Скрытый SSID - бестолковое и даже в некотором роде вредительское "улучшение".

 

 

Почему вредительское?

И почему "опасная ошибочная видимость"? Ошибочная - понятно, а опасная?

Не настолько оно прям вредительское - ручками набрать название сети и указать тип шифрования не так уж долго. Вот включать защиту по макам - это да, проблемы быть могут. То, что оно в эфире ходит - я в курсе.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю