苹果连了校园网,为什么会出现这个标志?

发布时间:
2024-05-02 19:00
阅读量:
11

wifi蜜罐

当年玩过这操作,反正毕业了就说出来吧

南中医的校园网,学生账号是8m,教师账号是20m

于是我当时就寻思着怎么想办法蹭一个教师账号

显然因为这个账号密码还可以用于查工资之类的,绝对不可能用社会工程学搞到

但校园网有一个功能,就是可以设置当前设备的mac地址为免认证地址,这样这个设备下次连接就默认登陆这个账号无需密码

所以我当时就在一个没有校园网wifi的实验楼里,开了一个同名热点

鱼咬钩的很快,没几分钟就来了一个幸运儿

把连接设备的mac地址抄下来,回宿舍填到自己路由器设置里模拟

顺利自动登录某老师的账号,解锁20m高速


后来为什么不用了呢

因为我在实验室电脑上发现保存了实验室通用的不限设备数量且100m超高速的特殊账户,我把这个通用账户抄了下来所有设备全用上了



其实这个问题的根源,在于MAC地址认证并不是一个可靠的认证方式

虽然其规范上被设计为唯一,但其存在两个很严重的问题。第一,有限长度意味着有限的设备数量,随着设备数量的增多MAC地址早晚会消耗殆尽,MAC地址总计70万亿个,但一台设备会消耗多个,每存在一个网络介面就消耗一个,一台交换机可能一次消耗40个,消耗速度比IP地址快得多。第二,这个东西理论上是与设备绑定不可重置的,这就意味着不能保护用户隐私,可能用于跟踪,所以就会出现随机MAC等伪装手段,那么加入可篡改性后就更不能用于设备认证了,通过碰撞方式欺骗认证都会变成可行,同一局域网下两个设备随机到同一个MAC也不是不可能

于是来澳洲之后我发现澳洲的学校根本不用MAC认证,用一种更先进的方式解决了复杂的无线认证需求:WPA Enterprise。我之前在Griffith的时候,连接wifi之前必须先用专用的应用登录学校账号安装证书,证书内包含学号等身份信息,用证书认证身份,因为证书信任链的加密强度足以对抗暴力攻击,这种认证方式相当安全。现在在UQ则是必须使用学号+密码通过802.1X标准认证,并且在首次连接时会提示部署证书

WPA Enterprise的认证复杂程度被刻意设计成有效防止wifi蜜罐,因为其复杂身份认证需要验证的信息较多且每个用户的信息都不同,蜜罐很难轻易模拟,这也是为什么eduroam会选择WPA Enterprise的原因,一个身份信息就能安全的在全球校园网漫游

END