802.1X认证用于WLAN访问控制是否合适?

今年DEFCON大会上展示了一个新的Wi-Fi攻击：ChapCrack。是否不该在企业WLAN认证和访问控制上使用CHAP密码的802.1X认证？

当然要继续对WLAN用户使用802.1X认证方法。802.1X仍然为企业WLAN提供最强有力的访问控制，而且它可以灵活地为许多认证方法所用。包括被ChapCrack攻击的MS-CHAPv2哈希密码。

在DEFCON大会上展示的攻击使用云计算，早在1999年就有一个更有效的利用MS-CHAPv2漏洞进行攻击的技术。之前，MS-CHAPv2主要是通过密码对点到点隧道协议（PPTP）的VPN用户进行身份验证。虽然有漏洞，MS-CHAPv2仍被用在其他安全协议中，因为密码认证实在太容易了。而新的协议如802.1X PEAP（受保护的可扩展的身份验证协议）通过 TLS-加密隧道发送MS-CHAPv2。只要这些隧道使用正确，攻击者就没法拦截MS-CHAPv2握手来破解密码，这就使以前的CHAP 破解和新的ChapCrack难以威胁Wi-Fi安全。

然而，如果你当前WLAN所支持的Wi-Fi客户端是通过MS-CHAPv2 （例如 PEAP/MS-CHAPv2、EAP-TTLS/MS-CHAPv2）进行密码认证的话，要确保所有Wi-Fi客户端登录802.1X时是配置成通过服务器证书进行认证。服务器证书认证对于防止Wi-Fi客户端连上假的AP（又叫做邪恶的双胞胎）非常重要，ChapCrack使这一步变得更加重要。为什么呢？如果一台客户端连上一台假的AP，TLS隧道提供的保护将无效，MS-CHAPv2也将暴露给攻击者。攻击者就可以运行旧的CHAP 破解或新的ChapCrack工具来盗取Wi-Fi客户端的密码。ChapCrack的输出甚至可以提交给CloudCracker来迅速找出其中密码。

最后，你最好的措施是用802.1X认证方式结合不只密码的认证。例如，TLS和客户端（用户或机器）的证书，EAP-SIM和嵌入在智能手机中的智能卡。但是有很多很好的理由来不使用密码认证——例如，密码会分享给其他人；很多密码太容易猜到。ChapCrack所带来的风险正好是不使用密码认证的一个很好的理由。