136评论：研究人员表示 只需125美元就可以让黑客破解你的WPA3密码

安全研究人员称，他们发现了Wi-Fi保护访问3(WPA3)协议中的一些漏洞，这些漏洞可能允许攻击者破解用户密码并最终访问加密流量。同样令人不安的是它可以相对快速和廉价地完成。

WPA3的设计部分是为了解决WPA2(和WPA)中的一个主要漏洞，该漏洞已广泛用于保护家庭和某些工作场所的无线网络。这个特定的缺陷，称为KRACK-Key重新安装攻击 - 可能允许攻击者窥探计算机和无线接入点之间应该加密的流量。

较新的安全协议解决了这个漏洞并添加了许多其他保护措施，但它可能没有我们想象的那么安全。在题为“龙血”(PDF)的研究论文中，研究人员Mathy Vanhoef和Eyal Ronen表示WPA3的平等同步认证(SAE)握手，通常称为Dragonfly，受密码分区攻击的影响。

“这些攻击类似于[暴力]字典攻击，并允许攻击者通过滥用定时或基于缓存的旁道泄漏来恢复密码，”该报称。

暴力字典攻击的工作原理是尝试通过专门的软件猜测所有可能的密码和密码，直到找到正确的密码和密码。在这种情况下，其中一个漏洞可能允许攻击者暴力破解八个字符的小写密码。

这本身就令人担忧，但根据研究人员的说法，攻击者只需要价值125美元的Amazon EC2云资源来实现这一目标。根据目标，这是一个很小的代价。

这只是研究人员强调的几个缺陷之一。

“鉴于我们提出的攻击，我们认为WPA3不符合现代安全协议的标准。此外，我们认为，如果Wi-Fi联盟以更开放的方式创建WPA3认证，我们的攻击就可以避免， “研究人员说。

Wi-Fi联盟对该论文的调查结果不以为然，称所发现的问题仅存在于“有限数量的WPA3早期实施”中，并且“可以通过软件更新来缓解这些问题”。此外，Wi-Fi联盟表示，没有证据表明研究论文中列出的漏洞实际上已被利用。

这对您意味着您应该确保您的路由器更新到最新的固件，这是一个很好的安全实践，无论如何。