Израильский исследователь безопасности Идо Хорвич (Ido Hoorvitch Тель-Aвива) опубликовал результаты эксперимента по изучению надёжности паролей, используемых для организации доступа к беспроводным сетям. В ходе исследования по перехваченным кадрам с идентификаторами PMKID удалось подобрать пароли для доступа к 3663 из 5000 (73%) изученных беспроводных сетей в Тель-Aвиве. В итоге был сделан вывод, что большинство владельцев беспроводных сетей устанавливают ненадёжные пароли, подверженные подбору по хэшам, и их беспроводные сети можно атаковать с использованием типовых утилит hashcat, hcxtools и hcxdumptool.

Идо использовал портативный компьютер с Ubuntu Linux для перехвата пакетов беспроводных сетей, поместил его в рюкзак и бродил по городу до тех пор, пока не удалось перехватить кадры с идентификаторами PMKID (Pairwise Master Key Identifier) пяти тысячи разных беспроводных сетей. После этого он воспользовался компьютером с 8 GPU NVIDIA QUADRO RTX 8000 48GB для подбора паролей по хэшам, выделенным из идентификатора PMKID. Производительность подбора на данном сервере составила почти 7 млн хэшей в секунду. Для сравнения на обычном ноутбуке производительность составляет примерно 200 тысяч хэшей в секунду, чего достаточно для подбора одного пароля, состоящего из 10 цифр, примерно за 9 минут.

Для ускорения подбора перебор был ограничен последовательностями, включающими только 8 букв в нижнем регистре, а также 8, 9 или 10 цифр. Данного ограничения хватило чтобы определить пароли для 3663 из 5000 сетей. Наиболее популярными были пароли из 10 цифр, которые использовались в 2349 сетях. Пароли из 8 цифр использовались в 596 сетях, 9-и - в 368, а пароли из 8 букв в нижнем регистре в 320. Повторение подбора с использованием словаря rockyou.txt, размером 133 МБ, позволило сразу подобрать 900 паролей.

Предполагается, что ситуация с надёжностью паролей в беспроводных сетях в других городах и странах примерно одинаковая и большинство паролей можно подобрать за несколько часов и потратив примерно $50 на беспроводную карту с поддержкой режима мониторинга эфира (в эксперименте использовалась карта ALFA Network AWUS036ACH). Атака на основе PMKID применима только точкам доступа, поддерживающим роуминг, но как показала практика большинство производителей его не отключают.

Для атаки применялся типовой метод взлома беспроводных сетей с WPA2, известный с 2018 года. В отличие от классического метода, который требует перехвата handshake-кадров во время подключения пользователя, метод на основе перехвата PMKID не привязан к подключению к сети нового пользователя и может быть осуществлён в любой момент. Для получения данных, достаточных для начала подбора пароля, необходим лишь перехват одного кадра c идентификатором PMKID. Подобные кадры можно получить как в пассивном режиме, отслеживая активность, связанную с роумингом, так и принудительно инициировать передачу кадров с PMKID в эфир, отправив запрос аутентификации к точке доступа.

PMKID представляет собой хэш, генерируемый с использование пароля, MAC-адреса точки доступа, MAC-адреса клиента и имени беспроводной сети (SSID). Последние три параметра (MAC AP, MAC Station и SSID) изначально известны, что позволяет использовать метод перебора по словарю для определения пароля, аналогично тому, как пароли пользователей в системе могут быть подобраны при утечке их хэша. Таким образом защищённость входа в беспроводную сеть целиком зависит от стойкости установленного пароля.