KRACK击破WPA2防护，5招自保提升Wi-Fi安全性

日前比利时KU Leuven大学的资安研究员Mathy Vanhoef先生发表了Key Reinstallation Attacks :Forcing Nonce Reuse in WPA2论文，内容指出透过WPA 2无线网路加密通讯协定的漏洞，在建立无线网路前的四路交握（Four-Way Handshake）过程中侵入连线，而我们又该如何保障自身安全呢？

Wi-Fi联盟：尚未发现恶意攻击

我们先前已经介绍过KRACK的攻击方式，以及14个相关的快速QA，，不清楚KRACK的读者可以先看看这2篇文章了解状况。

针对这个资安漏洞，Wi-Fi联盟发出相关声明，表示目前尚未发现利用这个漏洞进行攻击的恶意事件，而Wi-Fi联盟也着手测试漏洞，并向联盟成员厂商提供侦测工具，以求进一步提升无线网路连线的安全性。所幸Vanhoef先生也指出，由于KRACK攻击者需要亲自到无线网路存取点附近，并透过繁复的手续才能完成，所以一般人不容意成为目标。

另一方面资安厂商Trend Micro也提出了下列5个增加使用无线网路安全性的方式给大家参考，这些方式除了对KRACK有效之外，平时也能提升安全性。



▲ KRACK攻击是透过WPA 2四路交握过程侵入连线。

1. 尽可能让无线网路装置、存取点的韧体随时保持更新

Vanhoef先生提到由于KRACK攻击是针对四路交握的过程进行攻击，因此从原理来看，只要将装置端（如智慧型手机、笔记型电脑）的韧体更新，就能解决KRACK攻击的问题，如果厂商尚未提供更新档，但又担心资安问题的话，先改用有线网路也是个办法。



▲更新韧体是避免KRACK攻击的最好办法。

2. 尽量隐藏无线网路识别码（SSID）

另一方面由于无线网路不同于传统有现网路，攻击者不需连接实体线路就能进行攻击，所以受害者往往比较难查觉已经被侵入。

透过隐藏SSID，能够减少无线网路被发现的可能性，虽然说这不是个万无一失的作法，但多少能降低被入侵的机率。



▲隐藏SSID能让一般人搜寻不到无线网路存取点，避免成为目标。

3. 使用防火墙

万一不幸无线网路遭到入侵，至少能够藉由防火墙隔离攻击者，避免受害网路中的电脑暴露在风险之下，降低造成的整体伤害。




▲防火墙能够将攻击者隔离在电脑之外。

4. 使用虚拟私人网路（VPN）

VPN是种特殊的网路通讯方式，它能在如网际网路等公用网路架构下，传送私人内部网路资讯，简单地说就是让分隔两地的电脑，也能够像区域网路一样运作。

VPN的另一个特色就是能够透过穿隧协议（Tunneling Protocol），将资料加密后再传送出去，如此一来就能在不安全网路上提供一个通讯管道，达到保密与避免被窃听的风险。



▲ VPN能够透过加密连线增加保障。（图片来源：维基百科，本图采用创用CC姓名标示-相同方式分享，作者为Ludovic.ferre）

5. 定期更换无线网路存取点密码

如果可以的话，最好也能定期更换密码，虽然说KRACK的攻击过程并不会牵涉到密码，但是仍然有许多其他攻击方式是破解密码之后才能入侵网路，所以无线网路存取点的密码最好也能像其他网路服务、金融卡密码一样，定期进行更换，以免成为攻击目标。


▲定期更换密码是资安防护很重要的一环。