Назад | Перейти на главную страницу

Какая энтропия пароля для MS-CHAPv2

Я ищу достаточно безопасное подключение мобильных телефонов к корпоративной сети Wi-Fi. Текущими решениями могут быть пользовательские сертификаты на мобильных телефонах (они, к сожалению, экспортируются) или PEAP-MS-CHAP-v2.

PEAP-MS-CHAP-v2 уязвим для атак методом перебора в автономном режиме, поэтому я пытаюсь оценить требуемую энтропию паролей в трех сценариях:

Все это вкупе с текущими средними возможностями CPU / GPU при выполнении атаки.

Кто-нибудь видел реалистичную оценку необходимой сложности? Я использую слово реалистичный, потому что это корпоративная сеть, поэтому 20 символов с 3 цифрами, двумя заглавными буквами и 3 символами не вызовут радости (людям нужно работать, помимо ввода своих паролей :))

Есть много мест, которые вычисляют необработанные оценки, обычно для общего перебора. Вы видели что-нибудь, что учитывает некоторые из вышеперечисленных аспектов?

Спасибо!

MS-CHAPv2 теперь полностью сломан (см. https://github.com/moxie0/chapcrack).

Сложность восстановления NTLM-хэша может быть снижена до взлома методом перебора ключа шифрования DES, что означает, что сложность пароля теперь не имеет значения (если вас интересует только NTLM-хэш, а не сам пароль - и в большинстве случаев так и будет; хэш - это все, что необходимо для аутентификации с помощью MS-CHAPv2, восстановления производных ключей сеанса MPPE и т. д.).

tl; dr: Взлом записанной пары запрос / ответ MS-CHAPv2 теперь абсолютно возможен. Если вас беспокоит безопасность, используйте что-нибудь другое.