Quão seguro é usar um hash de senha de uma palavra em inglês comum como uma chave WPA2?

A menos que você revele o método de como você gerou a chave "long WPA2" (que você acabou de fazer), é apenas uma string aleatória de texto que normalmente seria bastante segura. Por outro lado, se alguém soubesse que você estava usando "uma palavra em inglês comum" e usasse um hash dessa palavra como chave, qualquer pessoa poderia gerar rapidamente uma sequência de hashes de um dicionário e quebrar sua senha rapidamente.

Se você estiver procurando por uma "senha difícil que ainda seja fácil de lembrar", por que você não cria uma frase-senha mais longa que signifique algo para você, mas que não seja facilmente adivinhada por ninguém. Comece com uma frase (ou seja, sequência de palavras, frase, etc), misture uma sequência de dígitos que significam algo para você (além de aniversários, números de telefone, etc) e gere uma chave longa que é "fácil de lembrar" dessa maneira.

É tão seguro quanto qualquer outra chave, desde que você não conte a ninguém.

No final do dia, sua chave estará usando 0-9, af ... que na verdade só dá 16 caracteres possíveis em vez de apenas az, o que daria 26. Portanto, se você acha que está sendo inteligente e diga a alguém "Estou usando o SHA-1", você está realmente reduzindo suas combinações de força bruta por alguns.

Pessoalmente, acho que seria muito melhor você ter apenas uma palavra longa normal com uma mistura de maiúsculas e minúsculas, e depois inserir alguns números e símbolos aleatórios.

É seguro desde que ninguém consiga descobrir o método. Isso, claro, inclui se gabar sobre isso no escritório, mas também vestígios de qualquer tipo que você possa deixar para trás. Por exemplo, se você for conectar um usuário aleatório à sua rede, provavelmente usará algum tipo de aplicativo do lado do cliente para gerar o hash. Se o usuário aleatório perceber que há um echo "superuser" | sha1sum no log, não é muito difícil adicionar os dois juntos.

Vendo que você teria que gerar o hash externamente, muito da conveniência desaparece. Geralmente eu diria que hashing uma palavra comum pode ser uma maneira aceitável de gerar rapidamente uma chave semi-aleatória, mas a chave ainda deve ser copiada ou lembrada quando entrar para não representar uma fraqueza.

O único outro ganho em que consigo pensar é que a chave / frase / senha pode ser facilmente reproduzida se perdida. Se acima as medidas de segurança forem tomadas, não vejo razão para não usar palavras com hash como chaves.

Este é um exemplo do mundo real da segurança através da obscuridade . Onde você assume que está seguro, ou no seu caso, que está mais seguro do que usuários que acabaram de digitar suas senhas sem esse processo.

O verdadeiro problema é a falsa sensação de segurança, se você usar uma senha fraca, 12345678 por exemplo, usando o resultado SHA1 como senha WPA2, resultará quase impossível quebrar o hash WPA2. Assim, os usuários geralmente não se incomodam com a possibilidade de alguém conseguir decifrá-lo, mas assim que alguém souber seu segredo escondido, seu hash será quebrado facilmente. Se você escolher corretamente uma senha strong, você não terá que se preocupar, mesmo que seu segredo seja comprometido, uma boa senha levará muito mais tempo para ser quebrada do que o valor para o invasor esperar.

Isso nos levará à pergunta: a segurança através da obscuridade é tão ruim assim? IMHO sim, é apenas por causa da falsa sensação de segurança, o mesmo sentido que ferramentas automatizadas de pentest de baixa qualidade trazem quando não mostram vulnerabilidades após uma varredura, ou quando um antivírus diz que um executável está limpo.