一种基于WPA2标准的基于PMKID的暴力破解方法的出现引起了人们的注意。

这种攻击实际上是对WPA2预共享密钥的暴力攻击。这种攻击之所以被认为是有效的，是因为它可以基于来自有效密钥交换的单个嗅探包离线执行，而无需实际尝试连接到AP。

这个问题不是一个漏洞，而是一种更容易猜测无线AP密码的方法。

为了减轻这种类型的攻击，您应该使用难以暴力破解的强密码。

为了完全消除这种攻击的可能性，您可以使用WPA-PSK(不要忘记使用aes-ccm加密!)。WPA-PSK不包含该攻击中验证密码的字段。

“WPA-PSK”是指非wpa2配置吗?

向非eap网络发送PMKID有什么好处吗(有些人声称没有吗?

如果没有，是否计划修复这个漏洞(通过不向PSK网络发送PMKID)?

实际上，这种攻击比以前已知的程序更糟糕的原因有三个:
1.在没有任何客户端连接的情况下，可以获得强制使用PSK密码的PMKID。这对于只有管理员的wifi网络(以及其他通常没有客户端连接的网络)来说尤其糟糕。
2.在microtik中不会记录任何内容。雷竞技网站事件与先前已知的程序通常解离(通常是许多解离)，然后失败的关联尝试将被记录。
3.wifi用户不会注意到这一点。

当“/interface无线访问列表”用于为不同的客户端MAC地址提供不同的psk时，此错误的行为是什么?
当无线接口具有“default-authentication=no”(与“/interface wireless access-list”条目相结合)时，此错误的行为是什么?

附言:当然，必须始终使用强密码，但也必须始终减少攻击面(可能受到攻击的点)。在这种情况下，不发送PMKID将大大减少很少使用的网络的攻击面。

下一个Rol雷竞技uterOS v6.43rc版本将有一个选项允许禁用PMKID的使用。使用该设置时应自行承担风险，因为您知道某些客户端可能无法连接。

如果它能很好地工作，那么我们很可能会将这些更改也移植到其他RouterOS版本发布渠道。l雷竞技

如何从microtik AP中获得PMKID ?雷竞技网站我已经尝试了攻击我的wAP AC (WPA2-PSK)，但驱动程序没有实现必要的字段。

向非eap网络发送PMKID有什么好处吗(有些人声称没有吗?

好吧，没有好处，因为使用PMKID允许跳过身份验证阶段，这在使用PSK时是不存在的。当使用PSK时，包含PMKID的唯一原因是因为802.11似乎没有非常具体地说明是否必须包含PMKID。如果有一些客户非常严格地检查它收到的东西怎么办?

如果没有，是否计划修复这个漏洞(通过不向PSK网络发送PMKID)?

我们将添加一个选项来禁用在握手消息1中发送PMKID。

当“/interface无线访问列表”用于为不同的客户端MAC地址提供不同的psk时，此错误的行为是什么?

PMKID是基于密钥交换中使用的PSK生成的，因此为了暴力破解特定的密码，您必须嗅探AP发送的握手帧，该帧包含使用您感兴趣的PSK生成的PMKID。注意，“access-list”操作的mac地址相对容易被攻击者欺骗，所以它并没有增加更多的安全性——攻击者要么需要观察合法客户端的握手，要么欺骗客户端的mac地址并尝试握手(它会失败，但攻击者仍然会获得带有PMKID的帧)。如果您使用每个客户机的PSK，如果一个客户机的PSK受到损害，您只需要为特定客户机更改它，而不是所有客户机。

当无线接口具有“default-authentication=no”(与“/interface wireless access-list”条目相结合)时，此错误的行为是什么?

考虑到攻击者可以嗅探帧和欺骗mac地址，这将有助于唯一的情况是当攻击者无法找出它应该使用的mac地址来尝试连接，但这不能被认为是保护。如果攻击者发现了允许连接的客户端的mac地址，就可以进行密钥握手，并尝试暴力破解PSK。

当使用PSK时，包含PMKID的唯一原因是因为802.11似乎没有非常具体地说明是否必须包含PMKID。如果有一些客户非常严格地检查它收到的东西怎么办?

可能Ubiquity可能不会发送PMKID．

我们将添加一个选项来禁用在握手消息1中发送PMKID。

非常感谢您添加了这个选项!

PMKID是基于密钥交换中使用的PSK生成的，因此为了暴力破解特定的密码，您必须嗅探AP发送的握手帧，该帧包含使用您感兴趣的PSK生成的PMKID。注意，“access-list”操作的mac地址相对容易被攻击者欺骗，所以它并没有增加更多的安全性——攻击者要么需要观察合法客户端的握手，要么欺骗客户端的mac地址并尝试握手(它会失败，但攻击者仍然会获得带有PMKID的帧)。如果您使用每个客户机的PSK，如果一个客户机的PSK受到损害，您只需要为特定客户机更改它，而不是所有客户机。

所以在这种情况下:

• 为接入点设置“default-authentication=no”
• 对应的“/interface无线安全配置文件”将wpa-pre-shared-key和wpa2-pre-shared-key设置为某个值(例如:“wpa-pre-shared-key = Password123 " wpa2-pre-shared-key = Password123)
• “/interface wireless access-list”有客户端条目，每个客户端使用不同的“私有-预共享密钥”
• 攻击时没有客户端连接(攻击者不知道客户端的MAC地址)

攻击者可以获得的唯一信息是安全配置文件中提到的“wpa2-pre-shared-key”的PMKID(在本例中-暴力破解为“Password123”的哈希值)，对吗?
攻击者将无法连接该密码(假设没有指定私有预共享密钥的访问列表项)，对吗?
我之所以描述这种场景，是因为它说明了在这种漏洞影响最大的情况下(AP一直在线，但很少有客户端连接)，可能会缓解漏洞(使用每个设备密钥锁定AP)。

P.S.对于其他读者，我可以提到，在客户端连接的情况下，可以应用经典的WPA攻击(包括欺骗客户端断开连接并在客户端重新连接时记录网络流量)，PMKID攻击的好处非常小(不打扰客户端，也不会在RouterOS中记录经典的“分离风暴”)。l雷竞技

所以在这种情况下:

• 为接入点设置“default-authentication=no”
• 对应的“/interface无线安全配置文件”将wpa-pre-shared-key和wpa2-pre-shared-key设置为某个值(例如:“wpa-pre-shared-key = Password123 " wpa2-pre-shared-key = Password123)
• “/interface wireless access-list”有客户端条目，每个客户端使用不同的“私有-预共享密钥”
• 攻击时没有客户端连接(攻击者不知道客户端的MAC地址)

攻击者可以获得的唯一信息是安全配置文件中提到的“wpa2-pre-shared-key”的PMKID(在本例中-暴力破解为“Password123”的哈希值)，对吗?

不。为了获得任何PMKID，攻击者必须进入密钥握手阶段，这只发生在成功的802.11关联之后。如果客户端不在access-list中，则拒绝进行802.11关联，AP甚至不进入密钥握手阶段。

不。为了获得任何PMKID，攻击者必须进入密钥握手阶段，这只发生在成功的802.11关联之后。如果客户端不在access-list中，则拒绝进行802.11关联，AP甚至不进入密钥握手阶段。

那么在这种情况下，攻击者将无法获得任何密码哈希值(假设攻击者不会尝试猜测MAC地址)?

不。为了获得任何PMKID，攻击者必须进入密钥握手阶段，这只发生在成功的802.11关联之后。如果客户端不在access-list中，则拒绝进行802.11关联，AP甚至不进入密钥握手阶段。

那么在这种情况下，攻击者将无法获得任何密码哈希值(假设攻击者不会尝试猜测MAC地址)?

正确的。就像我说的-为了获得PMKID攻击者必须观察或导致密钥握手，这只发生在成功的802.11关联之后。在Rol雷竞技uterOS中，访问列表检查(以及radius-mac-authentication)发生在密钥握手之前(这很明显，因为访问列表或radius-mac-authentication可以提供PSK)。

我认为只要你的wifi密码/钥匙不是白痴会用作行李密码的东西，你就没事。

仍然有几个漏洞，很快我将展示其中的一些被纠正。

一个数据库有各种各样的漏洞，存储了您最常用的数据库，例如数据库和数据库。

这是一个英语论坛。请用英文贴出来供大家阅读。您可以编辑和更改您的帖子。
Nem todo mundo est lendo Português

6.43rc56(2018-08-13 11:13)新增内容:
…
*)无线-为WPA2(仅限CLI)添加禁用PMKID的选项;
…

到目前为止，我尝试的所有设备都连接得很好。

当然这也是Capsman的选项?

那WPA3的工作呢?

那WPA3的工作呢?

根据高通的说法，WPA3需要新的芯片组，所以旧设备似乎无法支持它…

那WPA3的工作呢?

根据高通的说法，WPA3需要新的芯片组，所以旧设备似乎无法支持它…

据我所知，这是一个很大的"牛皮话"只有当旧芯片的硬件功能变慢时，WPA3才雷电竞app下载官方版苹果能在软件中完成。雷竞技官网网站下载但是脑残的廉价AP也有很慢的cpu，所以...........但支持新标准是一回事。以这种新标准攻击所有的书呆子是另一回事。

所以…

雷竞技网站Mikrotik:能否说明一下我们将如何、何时、何地使用WPA3 ?

雷竞技网站Mikrotik:能否说明一下我们将如何、何时、何地使用WPA3 ?

或者至少，“是否”

据我所知，目前还没有任何客户端设备支持WPA3。

必须有人率先发布WPA3，如果所有人都在等待其他所有人发布WPA3，那么它永远不会到来

必须有人率先发布WPA3，如果所有人都在等待其他所有人发布WPA3，那么它永远不会到来

是的，这是真的。有时，Mikroti雷竞技网站k可能是第一个

当然这也是Capsman的选项?

它已经是了。试试吧。

据我所知，目前还没有任何客户端设备支持WPA3。

@Normis，我们什么时候能看到microtik设备上的WPA3更新雷竞技网站

到目前为止，disable-pmkid=yes有什么问题吗?它还不是默认的(从6.44开始)-为什么?

今天又发现了一个大洞。

10亿台设备受到影响。有多少废弃软件?

“你可以使用WPA3”

你是在说Kr00k吗?

是的

Kr00k……我们应该为此担心吗?

如果你没有放弃软件，可能已经打过补丁了。

只有赛普拉斯和博通WiFi被发现受到影响。

没有一个microtik硬雷竞技网站件使用赛雷竞技官网网站下载普拉斯或博通无线芯片组，所以答案显然是否定的。

没有一个microtik硬雷竞技网站件使用赛雷竞技官网网站下载普拉斯或博通无线芯片组，所以答案显然是否定的。

人们也有其他的设备。

Kr00k……我们应该为此担心吗?

更新:思科正在开发补丁。

把办公室设置成只有WiFi的坏主意。