On Wed, Nov 3, 2010 at 1:19 PM, Adam Glauser <span dir="ltr"><<a href="mailto:adamglauser@gmail.com">adamglauser@gmail.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On 03/11/2010 12:40 PM, Khalid Baheyeldin wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
To answer the original question on whether moving from no encryption/no<br>
password to WPA/WPA2 ...<br>
<br>
This comments says that it is very unlikely that Firesheep will affect<br>
WPA networks, even with a shared key.<br>
<br>
<a href="http://it.slashdot.org/comments.pl?sid=1851220&cid=34106546" target="_blank">http://it.slashdot.org/comments.pl?sid=1851220&cid=34106546</a><br>
<<a href="http://it.slashdot.org/comments.pl?sid=1851220&cid=34106546" target="_blank">http://it.slashdot.org/comments.pl?sid=1851220&cid=34106546</a>><br>
<br>
More specifically, it quotes this:<br>
<br>
<a href="http://en.wikipedia.org/wiki/IEEE_802.11i-2004#The_Four-Way_Handshake" target="_blank">http://en.wikipedia.org/wiki/IEEE_802.11i-2004#The_Four-Way_Handshake</a><br>
</blockquote>
<br></div>
I think Lori mentioned this earlier, but it seems that the session key* is not securely exchanged.  It seems that WPA-PSK and WPA2-PSK (aka -Personal) add the additional effort of capturing these handshake packets.  Firesheep may not automate this yet, but it perhaps it could.<br>
</blockquote><div><br>I read the comment as saying "the individual keys are hard to sniff, making Firesheep not practical (yet) for WPA networks".<br><br>I will leave those with more expertise to comment more here.<br>
<br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
It seems that the -EAP (aka -Enterprise) versions of WPA use a proper key-exchange algorithm and aren't vulnerable to this attack**.  I don't know all the details, but it seems that using -EAP versions of WPA require setting up (or hiring) a RADIUS server.  This also seems to involve purchasing a certificate from a trusted authority.  I'm not sure, but it might also require extra settings on the client side.  Does anyone know?<br>

<br>
In any case, it seems that using WPA2-EAP is the way to go from a security standpoint, but is probably impracticable for most AP administrators.<br>
<br>
* more correctly, the "Pairwise Transient Key"<br>
**<br>
More detail here: <a href="http://superuser.com/questions/156869/can-other-people-on-an-encrypted-wi-fi-ap-see-what-youre-doing" target="_blank">http://superuser.com/questions/156869/can-other-people-on-an-encrypted-wi-fi-ap-see-what-youre-doing</a></blockquote>
<div><br clear="all">Enterprise WPA/WPA2 is not practical for what Paul Nijjar wants, in addition<br>to being not easy to setup.<br><br>It requires a list of authorized people and having logins for each one.<br><br>In a public hotspot with no defined set of authorized people, one timer people, it does not make sense.<br>
<br>Think about our KWLUG meeting place, coffee shops, The Working Centre, ...etc.<br></div></div>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com">2bits.com</a>, Inc.<br><a href="http://2bits.com">http://2bits.com</a><br>
Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>