Hallo Tobi,
Brute Force halte ich bei 16 Stellen für unwahrscheinlich. Waren es verschiedene Zeichensätze?
Passwort-Sicherheit.pdf (30,8 KB)
Beste Grüße
Thorsten
1 „Gefällt mir“
Morgen,
Denke das mit dem Traffic war bei Uralt-WEP, bei WPA braucht man den Verbindungshandshake, dann kann man mit Woerterbuch oder per Brute Force ran.
Die restlichen Angriffe z.B. Krack kriegen nur unter ganz bestimmten Umstaenden das Passwort raus (TKIP anstatt AES und so.)
Gruss Harry
Hallo,
ich denke, dass es viel einfacher war. Jemand, der das Passwort haben durfte, hat es aufgeschrieben und den Zettel oder das Heft offen liegen lassen. Das habe ich mehr als einmal erlebt.
Viele Grüße
Alois
Sind die Linux-Laptops gegen Booten mit einem USB-Stick gesichert, z.B. mit einem BIOS-Password.
Falls nicht, kann man mit einem Linux-USB-Stick booten und das Password vermutlich aus einer /etc-Datei auslesen.
Jürgen Adloff (IT-Assistent Maria-Montessori-Gesamtschule Düsseldorf)
Das hier, nehme ich an, ist per Einschränkungen durch Dein MDM geblockt?
Dann tippe ich auf „social engineering“. Oder jemand, der Zugang zu dem Schlüssel hatte, könnte diesen auf einem Gerät eingegegeben haben, wo es nicht gegen Auslesen gesichert war.
Weil ich bei unseren linuxmuster Notebooks so was befürchtet hatte, hab ich unseren 63stelligen WPA2-PSK damals weggeworfen, nachdem ich ihn auf unseren unmanaged AccessPoints hinterlegt und ins Image eingebacken hatte.
Gruß Jürgen
Wenn User das Linux Wlan Passwort auslesen können, würde in diesem Falle bedeuten, dass die Zugriffsrechte falsch gesetzt sind (/etc/ NetworkManager/…). IMHO
Die Kennwörter in /etc/shadow werden als Hash gespeichert, so wie es Holger bereits ansprach.
Und das ist meiner Erinnerung bestimmt seit > 20 Jahren so.
Ich vermute auch eher Social Engineering oder wie von Jürgen beschriebene fehlende Absicherung auf den iPads.
Auf jeden Fall ein sehr interessantes Thema …
VG Andreas
Nachdem hier so viele interessante und unterschiedliche Rückmeldungen kommen:
Danke!
Zu Jürgen: Es ist noch kein iOS16 installiert.
Tatsächlich wird man noch sehen, ob ein MDM in iOS16 dieses Feature abschalten kann.
Was ich mich sowohl bei linux als auch bei iPad frage:
- Kann es überhaupt möglich sein, dass physikalisch der WLAN-PSK nicht im Klartext gespeichert wird?
- klar, kann man einerseits behaupten, der PSK liegt nie im Klartext in einer Datei/Datenbank, man muss ja „nur“ eine Verschlüsselung anwenden, wie den Schlüsselbund, oder ähnliches, aber diese Verschlüsselung muss man ja dann Rückgängig machen und dass muss man mit entsprechenden Rechten können (z.B. der NetworkManager als root, oder dem iPad-„root“)
- andererseits schreibt Holger und Dorian, dass „da ja nur der Hash“ drin stände. Das suggeriert mir: Es geht auch, dass ein Hash abgespeichert wird, also eine Einweg-Codierung, so dass ich daraus auch gar nicht mehr mit vertretbarem Aufwand den PSK rückrechnen kann (md5, sha, whatever).
Letzterer Punkt finde ich spannend: Geht das für Linux? Dann geht das auch fürs iPad! Wenn das geht, müsste das System beim WPA-Handshake den Hash vergleichen… was hätte man gewonnen? Wenn jemand den Hash liest, könnte er dann auch ins WLAN…Wie ich es in meinem Kopf drehe und wende: beide Rechner (Endgerät und Access Point) müssen ein gemeinsames Secret haben, das sie (oder ein abgeleitetes Hash im Handshake) vergleichen… Ich kann mir nicht vorstellen, dass etwas auf dem Linux-Rechner liegt, das man als user lesen kann und dann damit nichts anfangen kann…
oder?
VG, Tobias
p.s. ja: linux-kaperung per Bootstick oder Rechteerweiterung halte ich auch für plausibel(er), nur waren die Geräte im Vergleich zu den iPads marginal im Einsatz… Ich frag mich nur, ob man mit iOS < 16 auch die nötige Rechteerweiterung hinbekommen konnte. Aber das hängt vermutlich stark von den Einschränkungen ab, die unser MDM anwendet…
KLar, als Hash 
Wäre mir neu dass sich es zurückrechnen lässt
NEIN
Meine Privatmeinung, da ich nicht an Schulen arbeite und es daher nicht einschätzen kann:
Ich würde bei den SuS mal ansetzen, einer weiss immer irgend etwas bzw. von wem er es erhalten hat …
VG Andreas
Nachher schalte ich mal meine Linux-Kiste an und schaue mir speziell das Verzeichnis /etc/Networkmanager an.
Hallo Tobias,
iOS 16 hat diese Möglichkeit nicht exklusiv. Es ist desweiteren möglich eine WLAN-Verbindung mit anderen zu teilen, ohne dass man den Key im Klartext sieht.
Auf unseren Notebooks stand der Schlüssel tatsächlich als Klartext in einer Datei, die nur root lesen konnte. Solange die Rechte stimmen …
Gruß Jürgen
Ich habe keine Stelle unter /etc/…/ gefunden, wo ein WLAN-Kennwort gesetzt/eingetragen war, auch nicht als Hash o.ä. Unter dem KDE-Desktop habe ich bei WLAN-Verbindung auch keine Möglichkeit gefunden das (gesetzte) Kennwort mir anzeigen zu lassen.
Welche Oberfläche setzt ihr bei euch ein - Gnome?
IM INET habe ich auch nichts gefunden, ausser vom > Jahr 2010, was aber technisch überholt ist.
Setzt ihr auch Raspis ein?
VG Andreas
Wenn man den ganz normalen NetworkManager benutzt, dann steht das Passwort in /etc/NetworkManager/system-connections/<name>.nmconnection im Klartext!
Wenn man z.B. wpa-supplicant benutzt, dann kann man das Passwort auch als Hash abspeichern, ist aber nicht standardmäßig so, wenn man das über die GUI konfiguriert.
Also, wenn nicht gegen usb boot geschützt ist, dann ist es sehr einfach, das Passwort rauszubekommen.
VG,
Dorian
Hallo,
es kommt darauf an, wie man seine WLAN-Verbindung aufbaut Verwendet man
den NetworkManager, dann ist das Passwort entweder in einer Datei in
/etc/NetworkManager/system-connections vorhanden oder aber im Keyring
gespeichert.
Beste Grüße
Jörg
Daher auch meine Frage ob Rasbperrys eingesetzt werden.
Auf meiner Kubuntu-Workstation ist in den .conf’s keine wpa_passphrase gesetzt
Das interessiert mich jetzt aber, ausser beim Raspi, da ist es klar
VG Andreas
Wenn’s nach mir ginge wuerde ich alle WLANs in der Schule einfach aufmachen, als alter Freifunker liegt mir das nah - juckt mich auch nicht.
Wenn die Sicherheit der Server von einem WLAN-Passwort abhaengen sollte, dann ist was schiefgelaufen. Ich wuerde mir erst einen Kopf machen wenn die Bandbreite knapp wird.
In diesem Fall hier wuerde ich artikulieren, dass wenn jemand unberechtigt im Netz surft, er von der Schule fliegt und eine Anzeige wegen Datenspionage zu erwarten hat…was natuerlich beides nicht passieren taete.
Gruss Harry
Glaube nicht, dass man das als Hash ansehen kann, das ist lediglich eine Stufe weiter an der Authentifizierung und das Ergebnis reicht aus um sich zu authentifizieren - also kein wirklicher Schutz.
Auch die Ueberschrift in dem verlinkten Artikel scheint mir nicht richtig: „How to encrypt your wifi password on a Raspberry Pi“, das ist nicht verschluesselt - vielleicht liege ich ja aber falsch.
Hi Harry,
Doch, das ist ein Hash vom Passwort und der SSID, siehe hier: wireless networking - What security does the wpa_passphrase tool actually add to a wpa-supplicant configuration file? - Super User
Es stimmt, dass das reicht, um sich im Netz anzumelden, aber sobald sich die ssid oder das passwort ändert, ist dieser Hash nutzlos. Außerdem kann man den nur benutzen, wenn man unter Linux ist, bei Android, IOS, MacOS oder Windows Geräten ist der meines Wissens nach komplett nutzlos.
VG,
Dorian
Ja, Du hast Recht, da gibt’s sogar eine RFC zu: https://www.ietf.org/rfc/rfc2898.txt
1 „Gefällt mir“
Hallo,
ist bei mir aber nur als root oder mit sudo lesbar.
Viele Grüße
Wilfried
root-Exploits gibt’s bei Linux leider auch regelmaessig, das ist also kein wirklicher Schutz.
Danke für diese Aufklärung.
Dann revidiere ich und gebe euch recht: ein HASH des PSK (passphrase) zu speichern IST besser, als den PSK im Klartext.
Erstens, weil es geht und keine Verschleierungstaktik ist
Zweitens, weil es dadurch nicht (einfach) möglich ist, den PSK für andere Geräte und Betriebssysteme zu nutzen.
Ja, es gibt root-Exploits und eventuell sind die auch einfach zu nutzen mit KALI-Linux und Youtube-Tutorials, aber ich würde einfach den Aufwand für „Angreifer“ (d.h. Schüler:innen) dem Nutzen für die Schüler:innen gegenüberstellen.
Wenn es mit Video-Tutorial einfach ist, root auf der Linux-kiste zu werden (entweder über USB-Boot oder Exploit-Tools), dann aber auf einen gehashten PSK stößt… dann stellt sich die Frage, ob man mit dem gehashten PSK weiterarbeiten kann und einen QR-Code erzeugen kann, den man zirkulieren lassen kann. Wenn das nicht geht, ist weiterer Aufwand echt nicht wert.
Wenn jetzt aber keiner einen Weg kennt so einen gehashten PSK in ein iPAd einzuschleusen, das sowieso noch durch ein MDM sehr beschnitten ist (z.B. Jürgens Vorschlag der Weitergabe ohne Klartext sich ist bei unseren iPads wohl unterbunden), dann ist der Nutzen (bei uns) gleich null. Ja, man könnte seinen eigenen Linux-Rechner mit dem Hash ins Netzwerk bringen. Die 1% haben es dann vllt. verdient 
Jörgs Hinweis, dass bei NEtworkManager das Passwort in system-connections oder im Keyring steckt ist auch sehr hilfreich: ich halte von keyring bei unseren LINBO-Images nix, weiß auch gar nicht, wie das gehen sollte. Nur die „system-connections“ und dann Sorge tragen, dass das nur root und der NetworkManager lesen kann, ist m.E. der gangbare Weg.
Also, ich bin zufrieden mit diesem Ergebnis und Erkenntnisgewinn.
Danke!
Tobias