【編者按】Lisa Phifer是Core Competence公司的副總裁，該公司是一家專注于領(lǐng)先網(wǎng)絡(luò)技術(shù)的咨詢公司。她從事網(wǎng)絡(luò)和安全產(chǎn)品的設(shè)計(jì)、實(shí)施和評(píng)估工作長達(dá)25年之久。在Core Competence工作期間，她在客戶需求、產(chǎn)品評(píng)估、新技術(shù)的使用和最佳方案等方面，為眾多大中小公司提出了合理建議。在加盟Core Competence之前，Phifer在貝爾通信研究所工作，并在ATM網(wǎng)絡(luò)管理方面獲總統(tǒng)獎(jiǎng)。她在許多行業(yè)會(huì)議和在線研討會(huì)上做過學(xué)術(shù)報(bào)告，內(nèi)容涉及無線局域網(wǎng)、移動(dòng)安全、NAC和VPN等領(lǐng)域的問題。同時(shí)，她為多家專業(yè)媒體撰寫有關(guān)網(wǎng)絡(luò)架構(gòu)和安全技術(shù)方面的文章，這些媒體包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商業(yè)通信回顧》和《網(wǎng)絡(luò)世界》等。Phifer每月一次的無線技巧文章將定期發(fā)布在SearchNetworking.com 和 SearchMobileComputing.com網(wǎng)站上。

今年DEFCON大會(huì)上展示了一個(gè)新的Wi-Fi攻擊：ChapCrack。是否不該在企業(yè)WLAN認(rèn)證和訪問控制上使用CHAP密碼的802.1X認(rèn)證？

當(dāng)然要繼續(xù)對(duì)WLAN用戶使用802.1X認(rèn)證方法。802.1X仍然為企業(yè)WLAN提供最強(qiáng)有力的訪問控制，而且它可以靈活地為許多認(rèn)證方法所用。包括被ChapCrack攻擊的MS-CHAPv2哈希密碼。

在DEFCON大會(huì)上展示的攻擊用云計(jì)算，早在1999年就有一個(gè)更有效的利用MS-CHAPv2漏洞進(jìn)行攻擊的技術(shù)。之前，MS-CHAPv2主要是通過密碼對(duì)點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）的VPN用戶進(jìn)行身份驗(yàn)證。雖然有漏洞，MS-CHAPv2仍被用在其他安全協(xié)議中，因?yàn)槊艽a認(rèn)證實(shí)在太容易了。而新的協(xié)議如802.1X  PEAP（受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議）通過 TLS-加密隧道發(fā)送MS-CHAPv2。只要這些隧道使用正確，攻擊者就沒法攔截MS-CHAPv2握手來破解密碼，這就使以前的CHAP 破解和新的ChapCrack難以威脅Wi-Fi安全。

然而，如果你當(dāng)前WLAN所支持的Wi-Fi客戶端是通過MS-CHAPv2 （例如 PEAP/MS-CHAPv2、EAP-TTLS/MS-CHAPv2）進(jìn)行密碼認(rèn)證的話，要確保所有Wi-Fi客戶端登錄802.1X時(shí)是配置成通過服務(wù)器證書進(jìn)行認(rèn)證。服務(wù)器證書認(rèn)證對(duì)于防止Wi-Fi客戶端連上假的AP（又叫做邪惡的雙胞胎）非常重要，ChapCrack使這一步變得更加重要。為什么呢？如果一臺(tái)客戶端連上一臺(tái)假的AP，TLS隧道提供的保護(hù)將無效，MS-CHAPv2也將暴露給攻擊者。攻擊者就可以運(yùn)行舊的CHAP 破解或新的ChapCrack工具來盜取Wi-Fi客戶端的密碼。ChapCrack的輸出甚至可以提交給CloudCracker來迅速找出其中密碼。

最后，你最好的措施是用802.1X認(rèn)證方式結(jié)合不只密碼的認(rèn)證。例如，TLS和客戶端（用戶或機(jī)器）的證書，EAP-SIM和嵌入在智能手機(jī)中的智能卡。但是有很多很好的理由來不使用密碼認(rèn)證——例如，密碼會(huì)分享給其他人；很多密碼太容易猜到。ChapCrack所帶來的風(fēng)險(xiǎn)正好是不使用密碼認(rèn)證的一個(gè)很好的理由。