Ist SSL sicherer als WPA2? Gemeint ist: Sicherer gegen Abhören. Die Frage mag erstmal laienhaft klingen, weil beide ja verschiedene Layers absichern sollen. Aber darum geht es mir nicht. Angenommen, ich habe ein Gerät, welches einen Access Point aufmacht, über den ich lokal auf einen auf dem Gerät gehosteten Webserver zugreife. Möglichkeit 1: Der AP ist mit WPA2 und einem Standardpasswort gesichert. Zugriff erfolgt per HTTP. Möglichkeit 2: Der AP ist offen, d.h. unverschlüsselt. Zugriff erfolgt aber über HTTPS, über ein Zertifikat was ich etwas kompliziert im Browser installieren muss. Welche Variante ist sicherer gegen Abhören und warum?
Irgendwie kann man das doch alles nachlesen. Aber egal, beide Verfahren verschlüsseln in der Praxis per AES. Die tun sich da also nichts. Naturgemäß unterscheiden sich die Angriffsmöglichkeiten. Und da in der Praxis eigentlich alle WLAN-Netze beides nutzen, bleibt die Frage, warum du das anders machen möchtest. Oliver
Bob schrieb: > Möglichkeit 1: Der AP ist mit WPA2 und einem Standardpasswort gesichert. > Zugriff erfolgt per HTTP. "Standardpasswort" klingt für mich nach der Liga von "geheim123", nicht nach "BanEctOgBe3bAtghehieGivudsEvko8rrIv2ucDiloyQueidEnthuls0jby4". Wenn das jemand erraten kann, kommt er an Deine Verbindung ran. > Möglichkeit 2: Der AP ist offen, d.h. unverschlüsselt. Zugriff erfolgt > aber über HTTPS, über ein Zertifikat was ich etwas kompliziert im > Browser installieren muss. Das Schlüsselpaar, auf das das Zertifikat ausgestellt wurde, wurde mit einem normalerweise ausreichend guten Zufallsgenerator erstellt. Das zu erraten ist so gut wie unmöglich. -> Bei dem WPA2 kommt es auf die Qualität des gewählten Passworts an und diese ist in sehr vielen Fällen nicht auf der eines Zertifikats.
Ja, am Ende sind beide AES. Das ist noch nicht geknackt, daher wird eher der Schlüsselaustausch angegriffen. SSL heist übrigens schon länger TLS und gibts schon in v1.3. In diesem Apekt wurde WPA2 genknackt: https://www.heise.de/newsticker/meldung/WPA2-und-WLAN-Sicherheit-Direkter-Angriff-auf-WLAN-Router-4130759.html Hier wars nur angeknackst: https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html In WPA3 habense auch schon was gefunden. Aber wer sicher will nimmt den doppelten Boden: WPA2 und HTTPS :) Bob schrieb: > über ein Zertifikat was ich etwas kompliziert im > Browser installieren muss. Lets Encrypt geht nicht? Oder brauchste dringend ein Client Zertifikat?
Bob schrieb: > Möglichkeit 1: Der AP ist mit WPA2 und einem Standardpasswort gesichert. > Zugriff erfolgt per HTTP. > Möglichkeit 2: Der AP ist offen, d.h. unverschlüsselt. Zugriff erfolgt > aber über HTTPS, über ein Zertifikat was ich etwas kompliziert im > Browser installieren muss. > > Welche Variante ist sicherer gegen Abhören und warum? Viel wichtiger wäre Sicherheit gegen Eindringen. Bei WPA2 muss er erst einmal in dein lokales Netz gelangen, wenn WPA2 eine schwere Sicherheitslücke enthalten sollte, dann wird das von jedem Dach gekräht. Auch bei Schminckspiegelzeitungen. Ohne WPA2 ist dein Webserver und sonstige Dienste die darauf laufen ungeschützt und muss genauso gepflegt, gewartet und abgesichert werden, als stände er im Internet. Ohne HTTPS ist es aber auch nicht gut, weil dann jeder, der in deinem lokalen Netz ist, theoretisch mitlauschen kann. Da reicht ein Drucker der keine Firmware mehr kriegt und irgendwie befallen wurde, z.b. weil ein Bekannter von dir als Gast mit seinem Notebook voller Schadsoftware sich mit deinem Netz verbinden darf und auf den Drucker zugriff kriegt. Deswegen benötigst du beides. WPA2 ist Pflicht und HTTPS wäre sehr sinnvoll. Und wenn wir schon bei SSL bzw. TLS sind, dann nutze mindestens TLS Version 1.3 wenn du kannst.
Mir geht es bei all dem darum, wie ich einen ESP8266 möglichst sicher initial einrichten lassen kann (= in ein bestehendes WLAN einbuchen, also mit Passwortübermittlung). Im Grunde geht mit dem ESP8266 nicht einmal Möglichkeit 2 (HTTPS-Server). Ich weiß nicht, ob jemand von euch schonmal versucht hat, einen HTTPS-Server mit dem Teil aufzusetzen. Der RAM reicht einfach nicht. Werden zwei Verbindungen versucht (und das macht jeder Browser automatisch), kackt das Teil ab. Dazu kommt zum Zweiten, dass Zertifikate selber installieren aus Kundensicht eher unpopulär ist. Drittens sind Zertifikate auf dem ESP8266 unsicher, weil sie im Klartext im EEPROM liegen. Daher die Frage, ob WPA2 mit Standardpasswort nicht genauso sicher ist. Denn das ginge problemlos. WPS geht auch (Knöpfchenmethode). Aber WPS halte ich persönlich für eine Katastrophe. Wenn man das Knöpfchen drückt, kann sich in dem Moment ja alles Mögliche einbuchen....
> ... weil sie im Klartext im EEPROM liegen.
Wenn ich an's Eeprom komme habe ich dir eins uebergebraten und bin schon
in der Wohnung ... Leute gibt's
Meinst du denn, dass jeder Kunde ein anderes SSL-Zertifikat bekommen würde? Es reicht hier, ein einziges Exemplar auszulesen. Daher denke ich, dass HTTPS hier auf keinen Fall sicher sein kann.
Weg mit dem Troll - subito schrieb: > Wenn ich an's Eeprom komme habe ich dir eins uebergebraten und bin schon > in der Wohnung Klar, und wenn dir jemand den PC hacken will muss er auch erst in deine Wohnung? Dir fehlt jegliche Fantasie wie man in ein System einbrechen kann. Kleines Beispiel: Autos wurden schon über die Luftdrucksensoren im Rad gehackt. Also einfach mal die Griffel still halten wenn man keine Ahnung hat.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.