Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/11/2003
En sikkerhedsforsker påpeger, at trådløse netværk, der anvender den nye sikkerhedsstandard WPA, kan være sårbare, hvis de har svage adgangskoder. Sårbarheden findes kun i bestemte konfigurationer af netværket.Wi-Fi Protected Access (WPA) blev udviklet for at løse de sikkerhedsproblemer, som den tidligere WEP-standard (Wired Equivalent Privacy) havde. Det er også lykkedes, men sikkerheden afhænger af måden, netværket er sat op på. Sikkerhedsforskeren Robert Moskowitz skriver i artiklen "Weakness in Passphrase Choice in WPA Interface", at WPA-netværk kan være sat op på en måde, hvor sikkerheden er lige så dårlig som i WEP.
WPA giver mulighed for at styre krypteringsnøgler ved hjælp af 802.1X-standarden. Men som alternativ kan man i stedet vælge en såkaldt "Preshared Key". Denne krypteringsnøgle kan beregnes ud fra en adgangskode.
Robert Moskowitz påviser i sin artikel, at en adgangskode vil kunne gættes ved hjælp af et såkaldt ordliste-angreb, hvor angriberen afprøver en stribe kendte ord, indtil adgangskoden er gættet. Ifølge Robert Moskowitz skal en adgangskode være mindst 20 tegn lang, hvis den skal være tilstrækkelig svær at gætte. Er adgangskoden først gættet, har angriberen adgang til hele det trådløse netværk, og vil derefter også kunne finde frem til de nøgler, der beskytter de enkelte brugeres sessioner.
I et interview med IDG News Service siger han, at virksomheder bør anvende tilfældighedsgeneratorer til at danne adgangskoderne med. Alternativt kan man anvende 802.1X-baseret sikkerhed.