研究人员破解了iOS个人热点密码

如果您在iPhone上使用“个人热点”来设置无线访问点，请记住要生成自己的密码短语，而不要依靠自动生成的密码短语。

根据该大学本月发布的“技术报告”，德国埃尔兰根大学的一组计算机科学家能够在不到一分钟的时间内破解由内置密码生成器自动创建的密码。 根据该论文，破解密码短语的实际时间（使用带有四个功能强大的图形卡的庞大设置）仅需24秒。

具有3G支持的iOS设备上提供的一项功能，“个人热点”可让用户设置Wi-Fi接入点，以供其他设备连接。 假设您正在开会，开会或在咖啡店里，只需要使用安全网络上的笔记本电脑上网即可。 您可以使用WPA密码启用“个人热点”来创建其他设备可以连接的安全无线网络。 研究人员找出了如何破解自动生成的密码短语。

“考虑到我们的优化，我们现在可以证明攻击者有可能在几秒钟内泄露任意iOS热点用户的默认密码，” Andreas Kurtz，Felix Freiling和Daniel Metz在其论文中写道。

研究意义

科学家考虑了潜在的攻击者捕获每次启用无线功能的设备成功连接到WPA2（Wi-Fi保护访问2）网络时协商的四次握手所花费的时间。 Kurtz，Freiling和Metz写道：“攻击者只需捕获WPA2身份验证握手，并使用我们优化的字典破解预共享密钥即可。”

如果您使用iPhone和iPad上的热点功能与其他支持无线功能的设备共享移动Internet连接，请注意。 密码短语的全部目的是保护网络，以防止将潜在的攻击者拒之门外。 但是，如果他们能够识别密钥，那么他们还可以连接到Hotpost（并用尽带宽），监视网络活动，或者在网络数据在连接的设备和防火墙之间传递时发起各种中间人攻击。苹果手机。

Sophos的安全专家Paul Ducklin在Naked Security博客上写道：“个人热点的密码选择与您在家中的固定线路Wi-Fi路由器选择的密码一样重要。”

不太随机的密码短语

研究人员说，Apple会生成一个介于4到6个字符之间的“可发音”字符串，并在字符串的末尾附加一个随机的四位数，以创建热点密码短语。 事实证明，在研究过程中生成的所有单词也可以在开源Scrabble游戏使用的单词列表中找到。 研究人员仅用49分钟的时间在装有单个图形卡的笔记本电脑上就可以使用此单词列表循环浏览所有可能的密码短语组合。

在对大约25万个实例中的Personal Hotspot生成的密码进行分类后，研究人员确定Apple仅使用1, 842个不同的单词作为创建密码短语的基本字符串。 据该论文称，这意味着只有不到1850万种可能的密码短语组合可供搜索。

Ducklin写道：“虽然用于iOS的自动密码生成器可能给人以'可发音的随机性'的印象，但实际上它给人一种错误的安全感，因为它太可预测了。

选择您自己的密码

虽然普通用户很难定期使用真正随机的密码，但是如果Apple甚至将大写和小写字母以及特殊字符扔入密码生成器中，则生成的字符串将花费更多的时间和资源。据研究人员称，裂纹比目前产生的裂纹要多。

Ducklin建议：“在使用iOS的Personal Hotspot时，请选择自己的密码短语，并使其成为一个好的密码短语。”

研究人员警告说，弱密码短语问题不仅限于iOS设备。 微软的Windows Phone 8会生成一个八位数字作为默认密码，根据运营商的不同，某些Android手机可能还会生成易于破解的密码短语。

Personal Hotspot还可以让iPhone所有者监视实际连接到网络的人数，因此最好记下您可能拥有的任何随机访问者。 设置自己的个人热点时，请始终选择自己的密码短语，并使其成为一个强有力的密码短语。

研究人员确定了十个单词，其中包括“和ave”，“字幕”和“带头”，被选作密码短语的可能性是其他单词的十倍。