Ocultar o nome da rede wifi aumenta a segurança? Como deixar o WIFI mais seguro?

[Oswaldo Cruz]

Ocultar o nome da rede wifi aumenta a segurança? Ou ocultar pode deixar a rede mais vulnerável? O WPA 2 continua seguro ou já descobriram algum vulnerabilidade? Quais as principais recomendações para manter a segurança na rede wifi?

[dwatashi]

1. Incrementa a segurança, mas é um incremental pequeno.

2. WPA2 é seguro, no entanto nos sistemas domésticos (personal) é possível ser quebrado utilizando técnicas de recuperação.

3. Utilizar WPA3 se possível, utilizar senhas mais fortes no WPA2.

[Oswaldo Cruz]

@dwatashi olá! Obrigado por responder!

 

Citação

1. Incrementa a segurança, mas é um incremental pequeno.

Entendi.

 

Citação

2. WPA2 é seguro, no entanto nos sistemas domésticos (personal) é possível ser quebrado utilizando técnicas de recuperação.

Essa técnica de recuperação é uma das etapas para quebrar a senha com bruteforce ou a técnica já permite recuperar a senha? Caso seja com bruteforce, ainda faz sentido senha longas, caso não, é perca de tempo senha gigantes?

 

Citação

3. Utilizar WPA3 se possível, utilizar senhas mais fortes no WPA2.

Mesmo que o roteador já tenha essa opção, é preciso que os celulares tenham também?

[dwatashi]

2 horas atrás, Oswaldo Cruz disse:

Essa técnica de recuperação é uma das etapas para quebrar a senha com bruteforce ou a técnica já permite recuperar a senha? Caso seja com bruteforce, ainda faz sentido senha longas, caso não, é perca de tempo senha gigantes?

É um misto de força bruta e implementação WPA2 falha. Senha longa ainda contribui para maior segurança.

 

Em 12/11/2023 às 07:34, Oswaldo Cruz disse:

Mesmo que o roteador já tenha essa opção, é preciso que os celulares tenham também?

Sim, é preciso que todos os que vão conectar tenham este protocolo. Caso contrário, eles não conseguem acessar. Existe a possibilidade de colocar misto WPA2/3, mas algumas implementações podem trazer problemas de segurança.

[arfneto]

Em 09/11/2023 às 16:47, Oswaldo Cruz disse:

Ocultar o nome da rede wifi aumenta a segurança? Ou ocultar pode deixar a rede mais vulnerável? 

 

Para acessar a rede o dispositivo usa o nome da rede e a senha. Se o nome da rede é publicado pelo ponto de acesso é uma informação a menos de que o eventual invasor precisa, e assim é algo positivo nesse sentido de aumentar a segurança. Mesmo que não fizesse diferença positiva não vejo como seria mais vulnerável omitir  broadcast do nome da rede.

 

Em 09/11/2023 às 16:47, Oswaldo Cruz disse:

O WPA 2 continua seguro ou já descobriram algum vulnerabilidade?

 

Muitas vezes vulnerabilidades são descobertas e exploradas por especialistas do lado do crime muito antes de alguém divulgar que existe tal vulnerabilidade e divulgar o fato. Outras vezes a comunidade de desenvolvedores na área de segurança descobre algo antes de ser explorado, ou supõe que não foi explorado ainda... Um crime perfeito é isso: ninguém sabe.

 

Em 09/11/2023 às 16:47, Oswaldo Cruz disse:

Quais as principais recomendações para manter a segurança na rede wifi?

 

Não sou um especialista, mas o que eu diria para considerar é que

• um invasor muitas vezes é só um vizinho oportunista que ouviu a senha de algum modo e quer acessar a internet porque teve alguma interrupção em sua rede. Esses caras não usaram algoritmos e computadores caros para ficar buscando a sua senha.
• Se usam um algoritmo pode ser algo lento achar a senha partindo do nada. Assim o cara pode ter uma máquina buscando ativamente senhas de dezenas de redes wifi ao alcance dele, e mantem isso rodando continuamente. Assim uma coisa bem positiva que pode fazer é
  • mudar a senha constantemente
  • usar uma senha relativamente longa
  • ocultar o nome da rede
• Você obviamente tem acesso ao AP e pode sempre verificar as conexões, e bloquear qualquer dispositivo estranho. Faça isso de quando em quando
  • mesmo nos AP domésticos, se não tem mais que uns poucos dispositivos, pode usar o recurso de white list e marcar os dispositivos que podem acessar a rede
  • pode usar o recurso de black list e bloquear para sempre algum espertinho. E mudar a senha logo em seguida, claro.
  • pode escrever ou comprar um programa para monitorar isso. É simples.
  • os roteadores domésticos admitem em geram umas 20 entradas em cada lista. 
• considere o que trafega pela sua rede wifi. Pode não ser assim importante a segurança em termos de monitoramento.
  • entenda que muito do tráfego na rede wifi é criptografado, de modo que o simples acesso ao wifi por um invasor não vai dar acesso a essas coisas, como acesso a bancos ou sites ou coisas confidenciais na internet. Esse tipo de invasão é focado na particular conexão de interesse, e usa outras técnicas.

Pode mesmo nem ser assim importante isso. Você pode estar sendo espionado de maneiras mais amplas, como gente monitorando sua vida para um eventual sequestro ou caras invadindo seu computador ou celular e aí claro que o wifi de nada importa, já que se trata de seu aparelho.

[Oswaldo Cruz]

@dwatashi Entendi. Muito obrigado!

 

Citação

Para acessar a rede o dispositivo usa o nome da rede e a senha. Se o nome da rede é publicado pelo ponto de acesso é uma informação a menos de que o eventual invasor precisa, e assim é algo positivo nesse sentido de aumentar a segurança. Mesmo que não fizesse diferença positiva não vejo como seria mais vulnerável omitir  broadcast do nome da rede.

Entendi.

 

 

 

Citação

um invasor muitas vezes é só um vizinho oportunista que ouviu a senha de algum modo e quer acessar a internet porque teve alguma interrupção em sua rede. Esses caras não usaram algoritmos e computadores caros para ficar buscando a sua senha.

Curto muito segurança da informação e sou bem paranóico com isso. Era mais pra revisar e poder ficar tranquilo mesmo. E saber se estou configurando e fazendo tudo certinho como manda a cartilha de boas práticas de segurança.

 

Citação

 

Se usam um algoritmo pode ser algo lento achar a senha partindo do nada. Assim o cara pode ter uma máquina buscando ativamente senhas de dezenas de redes wifi ao alcance dele, e mantem isso rodando continuamente. Assim uma coisa bem positiva que pode fazer é mudar a senha constantemente usar uma senha relativamente longa

ocultar o nome da rede.

 

Mudar constantemente é algo que não faço. Mas a senha aqui é bem longa...

 

 

Você obviamente tem acesso ao AP e pode sempre verificar as conexões, e bloquear qualquer dispositivo estranho.

 

Eu faço de tempos em tempos mesmo. Mas não é algo que configura todos os dias.  A ideia de ter confgirudo tudo no padrão para máxima segurança é para não ter que monitorar todo dia etc.

 

 

Citação

 

considere o que trafega pela sua rede wifi. Pode não ser assim importante a segurança em termos de monitoramento. entenda que muito do tráfego na rede wifi é criptografado, de modo que o simples acesso ao wifi por um invasor não vai dar acesso a essas coisas, como acesso a bancos ou sites ou coisas confidenciais na internet. Esse tipo de invasão é focado na particular conexão de interesse, e usa outras técnicas.

 

 

Entendi. Aqui eu tenho habito de verificar o certificado do site. Eu abre o vejo o certificado se foi para o site no qual visito. Não apenas olho se tem o https no site, eu abro ele. No passado o nível de paranoia era tão grande que eu olhava esse site antes de fazer qualquer login em coisas importantes:

 

https://www.grc.com/fingerprints.htm

 

Só que de uns tempos pra cá não consigo ver mais porque o certificado está parecendo diferente. Não se se é tecnologia que mudou e o grc ficou pra trás não sei...

 

 

Citação

...ou caras invadindo seu computador ou celular e aí claro que o wifi de nada importa, já que se trata de seu aparelho.

Aqui eu sou bem paranoico tanto que tenho outras máquinas para fazer coisas diferentes. Inclusive máquinas virtuais. Não executo qualquer programa na minha máquina principal. Envio para vírus total, passo com antivirus local e rodo na máquina virtual.

 

Se pegar algo é por vulnerabilidade mesmo, porque navegadores atualizam sozinho, windows todo mês tem atualização. Depender do meu click em mail estão lascados porque não uso email pra nada praticamente. Telefone não atendo nada além do meu filtro.

 

 

@arfneto  obrigado!

[Bruno Leyne]

O jeito mais seguro que conheço.
Muda autenticação para WPA3, só tem que analisar se todos os seus dispositivos são novos e tem suporte a isso, tem muito celular, tv box, televisão, e outros gadgets inteligentes que não tem suporte.
Coloca uma senha longa com maiuculo, minusculo e caracteres especiais.

E por último habilite o filtro whitelist endereços MAC. Somente os MAC que você deixar registrado irão conseguir acesso a rede. Problema que isso é custoso, sempre que alguém precisar conectar um dispositivo novo voce vai precisar registrar esse endereço na whitelist. 

Quase nenhum hacker tem paciência pra clonar mac e entrar na rede, e mesmo se tiver ainda vai ter sérios problemas porque se existir dois endereços MAC na mesma rede o roteador começa a bagunçar na entrega dos pacotes e os dois dispositivos entram em conflito tendo altas perdas de pacotes.

Pra incrementar a segurança como uma cereja de bolo, tenha regras de firewall e de portas que são abertas bem definidas. Que mesmo que a pessoa porventura consiga passar por todas as etapas anteriores (um hacker determinado e paciente vai conseguir, seja por uso de ferramentas ou engenharia social) não vai conseguir acessar as informações sensíveis dos dispositivos conectado na rede. Por isso que empresas além de blindarem a rede, usam VPN's.