Ключ — 256 бит. Случайный 256-битный ключ (даже случайный 128-битный ключ) для шифрования AES считается сегодня не взломаемым. Как объяснили другие, к паролям применяется KDF (функция получения ключа), чтобы укрепить их. KDF увеличивает время, необходимое для подбора ключа методом перебора, поскольку она рассчитана на выполнение множества циклов ЦП для генерации. Однако WPA2 зафиксирован на 4096 раундах, и современное оборудование (GPU, FPGA, ASIC) позволяет выполнять сотни миллионов или миллиарды операций хеширования в секунду. Так что ценность PBKDF2 в данном случае сегодня несколько ограничена. Однако вход для KDF — ASCII, поэтому у нас есть больший набор символов для работы. Если мы возьмем только заглавные и строчные буквенно-цифровые символы (62 возможных символа) и нам нужно получить 256 бит случайности, мы можем немного поразмыслить. log62 от 2^256 — примерно 43 https://www.wolframalpha.com/input/?i=log(62,+2%5E256). Таким образом, 43 символа случайных заглавных и строчных буквенно-цифровых символов приблизительно эквивалентны случайно сгенерированному 256-битному ключу. Если вы используете слова из словаря или другие вещи, чтобы сделать пароль более запоминающимся, у вас может быть меньше энтропии. Однако 56 символов относительно слабого пароля все равно, вероятно, не взломают вычислительным путем. Ваш более вероятный вектор атаки в этом случае — кто-нибудь прочитает его с напоминалки и т.п. В этом комиксе приведены примеры того, как примерно оценить энтропию пароля https://xkcd.com/936/. Где-то в глубинах этой ветки обсуждений https://community.spiceworks.com/topic/1454565-wifi-theft-what-would-you-do-to-him был парень, который сказал, что взломал 28-символьный WPA2-PSK пароль за 21 день) или это было 21-символьный пароль за 28 дней?). Я видел некоторые статьи, в которых говорится, что все, что менее 25 символов в пароле, уязвимо. Я надеялся, что если я использую этот сайт https://www.grc.com/passwords.htm для генерации 63-символьного пароля, это будет означать, что его нельзя взломать. У меня есть некоторые сайты, где я не могу использовать RADIUS, такие как домашние офисы или домашние пользователи. Грегг

Разницы абсолютно никакой. Это заблуждение, что ввод 256-битного ключа напрямую как-то "сильнее", чем использование случайной фразы-пароля. Если вводится фраза-пароль, то 256-битный ключ генерируется с использованием PBKDF2. Ввод фразы-пароля произвольной длины (8-63 символа) эквивалентен прямому вводу 64-хекс символьного ключа. В обоих случаях получается 256-битный ключ. Те 64 шекс символа, используемые для прямого ввода ключа, на самом деле всего 4 бита каждый, а те 63 аски символа, используемые для ввода фразы-пароля, — 8 бит каждый. Генерировать случайную 63-байтную фразу-пароль так же просто, как и строку из 64 шекс символа. Я давно перешёл на длинные случайные фразы-пароли вместо прямого ввода ключа (когда используется PSK), поскольку, вопреки тому, что указано выше, есть устройства, которые позволяют вводить только фразы-пароли.

Хм, а у каких клиентов ты обнаружил, что не поддерживают ввод 64-символьного шестнадцатеричного ключа напрямую? У меня сеть настроена вот так, используя современное оборудование, и я обнаруживаю, что это поддерживается только дешевыми IoT-устройствами. Был приятно удивлен, что UniFi это не поддерживает. Android, iOS, Chromecast, Windows, macOS, Linux, Kindle, Kobo и многие другие устройства работают отлично. Кратко рассматривал установку OpenWRT, но не вижу, чтобы это поддерживалось на UAP-AC-PRO. Обработаю возврат и перейду к другому производителю вместо этого.

Проблема вообще не в вводе паролей. Проблема была в невозможности ввести ключ. Это значит, что если ваш старый access point был настроен с ключом, то вы не могли заменить его на UniFi access point без перенастройки сетевого подключения на каждом устройстве, подключенном к access point. Не знаю, была ли проблема исправлена или нет. Но пока не получу подтверждения, что она исправлена, обязательно буду предупреждать всех, кто рассматривает покупку UniFi access point.

Привет. У меня Nanostation M2, и я вижу обновление прошивки за август 2016 года. Кто-нибудь знает, решена ли в нем эта проблема? Я читал примечания к обновлению, но там ничего не сказано об этом. Спасибо.

Да. И я хотел подтверждения. Вижу, что забыл ответить на ту ветку. В то время не было планов добавить поддержку 64-значного HEX, оставалось на 63-значный ASCII (для введенного ключа). В любом случае, как я и сказал сегодня, мы открыли тикет, чтобы посмотреть возможность добавления поддержки ввода 64-значного HEX-ключа тоже (но пока нет точной даты).

Я сообщу этому пользователю об обновлении и проверю его другую заявленную проблему. Я по умолчанию не подписываюсь на те ветки, на которые отвечаю, возможно, придется это изменить.

Спасибо, что указали на эту ветку (именно поэтому я впервые начал это изучать в прошлом феврале).

Удачи,
Mike

EDIT: исправление

Ах, теперь я понимаю, что ты имеешь в виду. Интересно. Никогда раньше не использовал hex-ключи для чего-то связанного с Wi-Fi, всегда ASCII. Учусь новому каждый день.

Нет, дело в том, что парольная фраза ограничена 63 символами, а затем преобразуется в ключ WPA/WPA2, который представляет собой 64-символьную строку (если выражать его в символах, а не в байтах). Вы вводите парольную фразу, которая кодируется для создания ключа WPA2, и затем этот ключ WPA2 используется точками доступа для проверки вас. Всего доброго, Andrew.

Это не про отдельного персонажа, это про парольные фразы vs. ключи WPA.