【編者按】Lisa Phifer是Core Competence公司的副總裁，該公司是一家專注于領(lǐng)先網(wǎng)絡(luò)技術(shù)的咨詢公司。她從事網(wǎng)絡(luò)和安全產(chǎn)品的設(shè)計、實施和評估工作長達25年之久。在Core Competence工作期間，她在客戶需求、產(chǎn)品評估、新技術(shù)的使用和最佳方案等方面，為眾多大中小公司提出了合理建議。在加盟Core Competence之前，Phifer在貝爾通信研究所工作，并在ATM網(wǎng)絡(luò)管理方面獲總統(tǒng)獎。她在許多行業(yè)會議和在線研討會上做過學術(shù)報告，內(nèi)容涉及無線局域網(wǎng)、移動安全、NAC和VPN等領(lǐng)域的問題。同時，她為多家專業(yè)媒體撰寫有關(guān)網(wǎng)絡(luò)架構(gòu)和安全技術(shù)方面的文章，這些媒體包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商業(yè)通信回顧》和《網(wǎng)絡(luò)世界》等。Phifer每月一次的無線技巧文章將定期發(fā)布在SearchNetworking.com 和 SearchMobileComputing.com網(wǎng)站上。

今年DEFCON大會上展示了一個新的Wi-Fi攻擊：ChapCrack。是否不該在企業(yè)WLAN認證和訪問控制上使用CHAP密碼的802.1X認證？

當然要繼續(xù)對WLAN用戶使用802.1X認證方法。802.1X仍然為企業(yè)WLAN提供最強有力的訪問控制，而且它可以靈活地為許多認證方法所用。包括被ChapCrack攻擊的MS-CHAPv2哈希密碼。

在DEFCON大會上展示的攻擊用云計算，早在1999年就有一個更有效的利用MS-CHAPv2漏洞進行攻擊的技術(shù)。之前，MS-CHAPv2主要是通過密碼對點到點隧道協(xié)議（PPTP）的VPN用戶進行身份驗證。雖然有漏洞，MS-CHAPv2仍被用在其他安全協(xié)議中，因為密碼認證實在太容易了。而新的協(xié)議如802.1X  PEAP（受保護的可擴展的身份驗證協(xié)議）通過 TLS-加密隧道發(fā)送MS-CHAPv2。只要這些隧道使用正確，攻擊者就沒法攔截MS-CHAPv2握手來破解密碼，這就使以前的CHAP 破解和新的ChapCrack難以威脅Wi-Fi安全。

然而，如果你當前WLAN所支持的Wi-Fi客戶端是通過MS-CHAPv2 （例如 PEAP/MS-CHAPv2、EAP-TTLS/MS-CHAPv2）進行密碼認證的話，要確保所有Wi-Fi客戶端登錄802.1X時是配置成通過服務(wù)器證書進行認證。服務(wù)器證書認證對于防止Wi-Fi客戶端連上假的AP（又叫做邪惡的雙胞胎）非常重要，ChapCrack使這一步變得更加重要。為什么呢？如果一臺客戶端連上一臺假的AP，TLS隧道提供的保護將無效，MS-CHAPv2也將暴露給攻擊者。攻擊者就可以運行舊的CHAP 破解或新的ChapCrack工具來盜取Wi-Fi客戶端的密碼。ChapCrack的輸出甚至可以提交給CloudCracker來迅速找出其中密碼。

最后，你最好的措施是用802.1X認證方式結(jié)合不只密碼的認證。例如，TLS和客戶端（用戶或機器）的證書，EAP-SIM和嵌入在智能手機中的智能卡。但是有很多很好的理由來不使用密碼認證——例如，密碼會分享給其他人；很多密碼太容易猜到。ChapCrack所帶來的風險正好是不使用密碼認證的一個很好的理由。