Jump to content
  • 0

Вопрос по поводу оптимального интервала обновления ключей Wifi (rekey-interval)


otets-grigoriy
 Share

Question

Добрый день.
Вопрос: какой оптимальный интервал обновления ключа на Wifi необходимо устанавливать для получения максимальной безопасности? При этом без особого ущерба для удобства.
Если выставить значение 3600 мы получим возможные дисконнекты клиентов, что не очень хорошо. Кроме того, за час ни один, даже самый мощный компьютер, не взломает ключ. Особенно если речь идет о пароле на 63 знака и использовании WPA3-шифрования.
Однако если выставить, условно, неделю - это тоже плохо.
Есть ли какие-нибудь данные о том, сколько времени компьютеру требуется на расшифровку ключа? Ну, на перебор всех возможных вариантов. Ту же сложность пароля мы можем проверить на многих сайтах (они нам показывают, сколько лет или месяцев может потребоваться на взлом). Да и посчитать количество вариантов на калькуляторе исходя из используемых символов мы тоже можем, а потом прикинуть среднюю скорость подбора и вычислить итоговое время.
Но с ключом - я не знаю, как это считается.
Вообще, я хотел перестраховаться и выставить вместо ваших 86400 ровно половину - 43200.
Но для глубокого понимания ситуации мне нужны хоть какие-то данные - что, как, зачем. Почем у разработчиками было выбрано именно 86400 секунд.
Можете дать пояснение или накидать литры, где почитать об этом можно?

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0
1 минуту назад, otets-grigoriy сказал:

Добрый день.
Вопрос: какой оптимальный интервал обновления ключа на Wifi необходимо устанавливать для получения максимальной безопасности? При этом без особого ущерба для удобства.
Если выставить значение 3600 мы получим возможные дисконнекты клиентов, что не очень хорошо. Кроме того, за час ни один, даже самый мощный компьютер, не взломает ключ. Особенно если речь идет о пароле на 63 знака и использовании WPA3-шифрования.
Однако если выставить, условно, неделю - это тоже плохо.
Есть ли какие-нибудь данные о том, сколько времени компьютеру требуется на расшифровку ключа? Ну, на перебор всех возможных вариантов. Ту же сложность пароля мы можем проверить на многих сайтах (они нам показывают, сколько лет или месяцев может потребоваться на взлом). Да и посчитать количество вариантов на калькуляторе исходя из используемых символов мы тоже можем, а потом прикинуть среднюю скорость подбора и вычислить итоговое время.
Но с ключом - я не знаю, как это считается.
Вообще, я хотел перестраховаться и выставить вместо ваших 86400 ровно половину - 43200.
Но для глубокого понимания ситуации мне нужны хоть какие-то данные - что, как, зачем. Почем у разработчиками было выбрано именно 86400 секунд.
Можете дать пояснение или накидать литры, где почитать об этом можно?

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

На форуме уже обсуждали эту тему. Разработчики рекомендуют ставить 86400 (24 аса)

Link to comment
Share on other sites

  • 0
1 минуту назад, Илья Картавенко сказал:

На форуме уже обсуждали эту тему. Разработчики рекомендуют ставить 86400 (24 аса)

 

Ссылку можно, если не сложно?

Link to comment
Share on other sites

  • 0

Смешались в кучу кони, люди...

При использовании WPA2-PSK и отключенном WPS вся ваша безопасность - это ключ сети (passphrase). Немного улучшить ситуацию можно только включив PMF, но в контексте "взлома" это защитит вас только от отправки deauth.

Скрытый SSID - бестолковое и даже в некотором роде вредительское "улучшение".

GTK - это всего лишь общий ключ шифрования бродкаста/мультикаста.

При отключенном WPS, WPA3-SAE+PMF = хренвзломаешь. WPA2-PSK+PMF с длинным ключом - брутфорсить очень долго. Всё остальное - опасная ошибочная видимость безопасности.

Link to comment
Share on other sites

  • 0
7 часов назад, otets-grigoriy сказал:

P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

Любопытно посмотреть как вы такой пароль будете вводить с телефона. Вся эта паранойя от незнания. Если у вас домашний роутер, то даже wpa2-psk с включенным pmf, как написали выше,  будет достаточен при использовании не словарного ключа уже от 12+ символов. Если же у вас корпоративное применение, то нужно использовать wpa2-enterprise с RADIUS-сервером.

Link to comment
Share on other sites

  • 0
4 часа назад, werldmgn сказал:

Любопытно посмотреть как вы такой пароль будете вводить с телефона. Вся эта паранойя от незнания. Если у вас домашний роутер, то даже wpa2-psk с включенным pmf, как написали выше,  будет достаточен при использовании не словарного ключа уже от 12+ символов. Если же у вас корпоративное применение, то нужно использовать wpa2-enterprise с RADIUS-сервером.

 

Использую Bluetooth-клавиатуру. Или сканер QR-кода для передачи ТД с другого устройства, на котором она уже есть. В конце концов, мы ведь не каждый день новое устройство регим. А раз в полгода можно и потерпеть)))

Паранойя не то, чтобы от незнания, просто всегда перестраховываюсь. Правда, иногда моя безопасность со мной играет злые шутки - был случай, когда я неделю не мог зайти в свой электронный кошелек из-за установленной защиты по IP-адресу, т.к. провайдер лег, а возможность обхода этой ситуации я не предусмотрел)))

Link to comment
Share on other sites

  • 0
5 часов назад, KorDen сказал:

 

Скрытый SSID - бестолковое и даже в некотором роде вредительское "улучшение".

 

 

Почему вредительское?

И почему "опасная ошибочная видимость"? Ошибочная - понятно, а опасная?

Не настолько оно прям вредительское - ручками набрать название сети и указать тип шифрования не так уж долго. Вот включать защиту по макам - это да, проблемы быть могут. То, что оно в эфире ходит - я в курсе.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...