我正在考虑以合理安全的方式将移动设备连接到企业WiFinetworking。 目前的解决scheme将是移动设备上的用户证书(不幸的是它们是可导出的)或者PEAP-MS-CHAP-v2。
PEAP-MS-CHAP-v2容易受到离线暴力攻击,因此我试图在三种情况下估算所需的密码熵:
所有这些与当前的平均CPU / GPU能力结合在一起进行攻击。
有没有人看到一个现实的估计所需的复杂性? 因为这是一个企业networking,所以我使用“现实”这个词,所以20位带有3位数字,2位大写字母和3位符号的字符不会被欢乐的欢呼(除了input密码外,还需要工作)
有很多地方计算原始估计,通常用于通用暴力。 你有没有看到任何考虑到上面的一些方面?
谢谢!
MS-CHAPv2现在完全破解(请参阅https://github.com/moxie0/chapcrack )。
恢复NTLM哈希的复杂性可以被简化为暴力破解DESencryption密钥的复杂性,这意味着密码的复杂性现在是不相关的(只要你只对NTLM哈希感兴趣而不是密码本身 – 在大多数情况下,你会是;散列是需要与MS-CHAPv2进行身份validation,恢复派生MPPE会话密钥等)的一切。
tl; dr:破解录制的MS-CHAPv2质询/响应对现在是绝对可行的。 如果你担心安全问题,请使用别的东西。