– 作者:宁盾nington

导语:

观众举报称,Wi-Fi万能钥匙和Wi-Fi钥匙免费软件窃取密码行为可能涉嫌危害个人、企业及国家公共安全。据此,《经济半小时》记者进行了调查。“从个人到商场,从外交大楼到金融重地,万能钥匙统统可以轻松窃取密码”,多家国家机关、金融机构无线WiFi密码形同虚设,9亿用户如同“裸奔。

——《经济半小时》偷密码的“万能钥匙”

image001.jpg

形同虚设|WiFi密码已不再安全

WiFi是生活中常见的短距离无限通讯技术。一般来说,企业或消费者都是自己花钱购买WiFi设备,缴纳电信流量费用,设置属于自己的上网密码。但是有相当大的一部分人未在企业或个人允许的情况下进行蹭网。目前社会上主要存在两种蹭网手段:一、以万能钥匙为首的WiFi密码共享软件。二、WiFi密码暴力破解软件及教程详解。

WiFi共享软件原理:通过用户上传分享的热点(主动或“被动”)到后台服务器的方式收集、积累数据。用户上网时,软件将周围扫描到的陌生热点信息、上传,服务器后台查询到相对应的密码(如果分享过的话)后返回给APP供用户使用。单以WiFi万能钥匙为例,用户就已经达到9亿。账号密码库早已形成亿级规模。

而WiFi密码破解原理:利用密码库穷举(逐个尝试)的方式,对无线WiFi密码进行暴力破解。

据《经济半小时》记者测试,仅用5秒钟便成功连接北京市东城区朝阳门中国银行北京市分行的BOC_CA加密无线网络,而且还能看到它的IP地址,子网掩码,路由器等相关信息数据。由此可见:WiFi密码已形同虚设,传统SSID账号密码的无线接入方式无疑是为网络攻击者敞开了大门。

未雨绸缪|选对方案是关键

也许您已经听说过市面上的很多短信、微信、用户名密码、扫码等无线认证方式,但是针对企业内部员工,账号源仍以AD、LDAP为主。用户名密码认证无疑是企业的首选认证方案,那么问题又来了。您的企业账号安全吗?

国内外账号泄露屡见不鲜。LinkedIn用户登录信息现身网络黑市/国家电网App疑因刷单推广,致千万用户数据在多平台出售/视频共享平台 DailyMotion 被黑 8520 万用户数据泄露/轻博客网站Tumblr6000万账户泄露。

账号泄漏的主要原因是:大多数企业的加密密码多为单一的sha-1或者md5处理,企业普遍存在密码简易、更换不及时、员工互相知晓的情况。另外市场上的各种密码词典及密码破解视频泛滥,传统静态密码随时存在撞库风险,企业传统的账号密码已不再安全。综合来看,无线网络环境中,“无线安全认证+双因素账号加固”才是解决企业无线准入的最佳解决方案。

宁盾为政企、金融机构提供无线安全认证+双因素准入方案

早在2016年,宁盾某大型能源客户已选择宁盾无线安全认证+双因素账号加固解决方案替代传统的WPA|WPA2认证方式。解决了IT管理人员甄别用户属性、实名审计、无线网络管理困难的情况。

具体方案如下:

在2台服务器上进行部署,服务器1安装宁盾一体化认证平台,对接Cisco WLC无线控制器、对接AD辅助域读取用户数据、对接集团短信网关实现双因素账号加固;服务器2安装AD辅助域并进行网络策略下发和访问服务(NPS)管理,无线认证设置在服务器二上进行,NPS用作Radius认证报文的策略转发。

image003.jpg

网络拓扑:

项目中主要产品有宁盾一体化认证平台、Cisco无线控制器(宁盾认证服务器可兼容其他国内外主流设备)、AD域、短信网关、上网行为管理设备等。

image005.jpg

最终效果:

无需改变原有网络架构|在现有无线网络条件下,不新增任何无线网络设备,与无线控制器对接,为员工推送Portal页面(支持802.1X认证),实现员工无缝认证接入;

AD+无线认证|与AD域对接,实现内部员工通过AD域账号源认证登录;

AD+动态密码|与企业短信网关对接,实现域账号的双因素认证;

基于角色的准入控制|配合准入策略,基于员工角色进行QOS权限管理;

详细的用户信息报表|为客户提供上网用户信息报表,如手机号、在线时间、流量等审计信息;

审计联动+实名审计|配合行为管理,实现上网实名认证+实名审计。

image007.jpg

结语:

层出不穷的互联网技术,本身是为了让大家的生活更为便利,但如过被恶意利用, 允许用户肆无忌惮地获取密码,随意地进出政企、金融、国家机要部门的网络。由此埋下的隐患,是令人担忧的。各部门更应该加强无线网络准入安全。宁盾无线认证+双因素认证解决方案可通过执行严格的准入控制策略增强网络的安全性及可控性。另支持多分支异构统一部署,通过与行为审计设备联动,实现实名认证+实名审计。

来源:freebuf.com 0000-00-00 00:00:00 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论