Daniel Hruska Os ydych chi'n defnyddio'r cyfrinair diogelwch rhagosodedig i gysylltu â man cychwyn personol rydych chi wedi'i greu, dylech ystyried ei newid. Mae ymchwilwyr Almaeneg o Brifysgol Erlagen yn honni eu bod yn gallu ei gracio mewn llai nag un munud.
V dogfen ag enw Defnyddioldeb vs. diogelwch: Y cyfaddawd tragwyddol yng nghyd-destun mannau problemus symudol iOS Apple mae ymchwilwyr yn Enlargen yn dangos eu bod yn cynhyrchu cyfrineiriau diofyn gwan ar gyfer man cychwyn personol. Maen nhw'n profi eu honiadau ar dueddiad ymosodiad gan y 'n Ysgrublaidd wrth sefydlu cysylltiad â WPA2.
Mae'r papur yn nodi bod iOS yn cynhyrchu cyfrineiriau yn seiliedig ar restr o eiriau sy'n cynnwys tua 52 o gofnodion, fodd bynnag, dywedir bod iOS yn dibynnu ar ddim ond 200 ohonynt. Yn ogystal, nid yw'r broses gyfan o ddewis geiriau o'r rhestr yn ddigon ar hap, sy'n arwain at eu dosbarthiad anwastad yn y cyfrinair a gynhyrchir. A'r dosbarthiad gwael hwn sy'n caniatáu cracio cyfrinair.
Gan ddefnyddio clwstwr o bedwar cerdyn graffeg AMD Radeon HD 7970, llwyddodd ymchwilwyr o Brifysgol Erlagen i gracio cyfrineiriau gyda chyfradd llwyddiant brawychus o 100%. Yn ystod yr arbrawf cyfan, roeddent yn gallu cywasgu'r amser torri tir newydd o dan un munud, i union 50 eiliad.
Yn ogystal â defnydd anawdurdodedig o'r Rhyngrwyd o ddyfais gysylltiedig, gellir cael mynediad at wasanaethau sy'n rhedeg ar y ddyfais honno hefyd. Mae enghreifftiau'n cynnwys AirDrive HD a chymwysiadau rhannu cynnwys diwifr eraill. Ac nid dim ond y ddyfais y mae'r man cychwyn personol yn cael ei greu arni, gall dyfeisiau cysylltiedig eraill gael eu heffeithio hefyd.
Mae'n debyg mai'r peth mwyaf difrifol am y sefyllfa benodol yw'r ffaith y gellir awtomeiddio'r broses gyfan o gracio'r cyfrinair yn llawn. Crëwyd ap fel prawf Cracer Hotspot. Mae'n hawdd cael y pŵer cyfrifiadurol sydd ei angen ar gyfer y dull grym 'n Ysgrublaidd dros y cwmwl o ddyfeisiau eraill.
Mae'r mater cyfan yn deillio o'r ffaith bod gweithgynhyrchwyr yn tueddu i greu cyfrineiriau sydd mor gofiadwy â phosibl. Yr unig ffordd allan wedyn yw cynhyrchu cyfrineiriau cwbl ar hap, gan nad oes angen eu cofio. Unwaith y byddwch wedi paru dyfais, nid oes angen ei nodi eto.
Fodd bynnag, mae'r papur yn nodi ei bod yn bosibl torri'r cyfrinair ar Android a Windows Phone 8 mewn ffordd debyg Gyda'r ail a grybwyllwyd, mae'r sefyllfa hyd yn oed yn haws, oherwydd dim ond wyth digid sydd gan y cyfrinair, sy'n rhoi gofod i'r ymosodwr o 108.
Mae hynny'n braf, nawr y cwestiwn yw, pan fydd rhywun yn defnyddio'r man cychwyn .... A oes ganddo'r wybodaeth briodol, felly mae'n newid y cyfrinair yn awtomatig er hwylustod iddo ei hun, iawn?