【編者按】Lisa Phifer是Core Competence公司的副總裁，該公司是一家專注于領先網絡技術的咨詢公司。她從事網絡和安全產品的設計、實施和評估工作長達25年之久。在Core Competence工作期間，她在客戶需求、產品評估、新技術的使用和最佳方案等方面，為眾多大中小公司提出了合理建議。在加盟Core Competence之前，Phifer在貝爾通信研究所工作，并在ATM網絡管理方面獲總統獎。她在許多行業會議和在線研討會上做過學術報告，內容涉及無線局域網、移動安全、NAC和VPN等領域的問題。同時，她為多家專業媒體撰寫有關網絡架構和安全技術方面的文章，這些媒體包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商業通信回顧》和《網絡世界》等。Phifer每月一次的無線技巧文章將定期發布在SearchNetworking.com 和 SearchMobileComputing.com網站上。

今年DEFCON大會上展示了一個新的Wi-Fi攻擊：ChapCrack。是否不該在企業WLAN認證和訪問控制上使用CHAP密碼的802.1X認證？

當然要繼續對WLAN用戶使用802.1X認證方法。802.1X仍然為企業WLAN提供最強有力的訪問控制，而且它可以靈活地為許多認證方法所用。包括被ChapCrack攻擊的MS-CHAPv2哈希密碼。

在DEFCON大會上展示的攻擊用云計算，早在1999年就有一個更有效的利用MS-CHAPv2漏洞進行攻擊的技術。之前，MS-CHAPv2主要是通過密碼對點到點隧道協議（PPTP）的VPN用戶進行身份驗證。雖然有漏洞，MS-CHAPv2仍被用在其他安全協議中，因為密碼認證實在太容易了。而新的協議如802.1X  PEAP（受保護的可擴展的身份驗證協議）通過 TLS-加密隧道發送MS-CHAPv2。只要這些隧道使用正確，攻擊者就沒法攔截MS-CHAPv2握手來破解密碼，這就使以前的CHAP 破解和新的ChapCrack難以威脅Wi-Fi安全。

然而，如果你當前WLAN所支持的Wi-Fi客戶端是通過MS-CHAPv2 （例如 PEAP/MS-CHAPv2、EAP-TTLS/MS-CHAPv2）進行密碼認證的話，要確保所有Wi-Fi客戶端登錄802.1X時是配置成通過服務器證書進行認證。服務器證書認證對于防止Wi-Fi客戶端連上假的AP（又叫做邪惡的雙胞胎）非常重要，ChapCrack使這一步變得更加重要。為什么呢？如果一臺客戶端連上一臺假的AP，TLS隧道提供的保護將無效，MS-CHAPv2也將暴露給攻擊者。攻擊者就可以運行舊的CHAP 破解或新的ChapCrack工具來盜取Wi-Fi客戶端的密碼。ChapCrack的輸出甚至可以提交給CloudCracker來迅速找出其中密碼。

最后，你最好的措施是用802.1X認證方式結合不只密碼的認證。例如，TLS和客戶端（用戶或機器）的證書，EAP-SIM和嵌入在智能手機中的智能卡。但是有很多很好的理由來不使用密碼認證——例如，密碼會分享給其他人；很多密碼太容易猜到。ChapCrack所帶來的風險正好是不使用密碼認證的一個很好的理由。