Muy interesante este hilo.
No soy un experto en wpa, ni en general en temas wifi, pero -a lo mejor esto es una chorrada- creo que la protección wpa no debería ser imposible de Auditar, sin la necesidad de usar la fuerza bruta al 100%. Me explico:
Por una parte, tratáis de confeccionar un diccionario lo suficientemente grande como para garantizar un amplio porcentaje de éxito. Diccionario que deberá estar debidamente optimizado para acelerar el proceso de fuerza bruta. Y también, diccionario que deberá ser lo suficientemente especializado como para poder seleccionar el tipo de ataque (o diccionario) para cada ESSID objetivo.
De todas formas, y aunque ese método pueda llegar a dar resultados -y aquí es donde viene mi pregunta como lego que soy en WPA- ¿no sería posible realizar algún ataque, aunque sea pasivo, es decir, limitándose a capturar sin posibilidad de inyectar nada, pero no limitándose a hacer un estudio estadístico al estilo del aircrack, sino tratando de desencriptar algo de información para averiguar la clave usada?
Conociendo el algoritmo usado en wpa (RC4) debería ser posible, si pudiésemos partir de un cierto número de "paquetes muestra" encriptados con la misma clave, averiguar cuál es esa clave, siempre que estemos seguros de que todos esos "paquetes muestra" eran, antes de ser encriptados, exactamente iguales. Evidentemente, capturar esos paquetes con la certeza de que eran iguales es lo complicado.
Pese a que con wpa no se pueda inyectar tráfico, si podemos capturar algún paquete que sepamos a ciencia cierta lo que es, así como que ese paquete se va a repetir nuevamente, y volver a capturarlo, y así un número determinado de veces, obtener la clave de encriptación debería ser posible a partir de esos paquetes diferentes, pero calculados utilizando la misma clave, conociendo como se conoce el algoritmo RC4. Naturalmente, el TKIP complica mucho más las cosas, porque hace que las claves sean dinámicas, pero entiendo que con un análisis exhaustivo de cómo funciona el TKIP y en general la protección WPA estudiando los paquetes de nuestra propia red, con una clave conocida, se podría llegar a conseguir un programa que "simule" todo el proceso y nos dé la clave a partir de un cierto número de paquetes "iguales" encriptados, y por tanto "diferentes" a simple vista.
Sería algo similar a lo que hacen algunos programas de crackeo de contraseñas de archivos zip o rar. Al estar encriptados y no meramente cifrados, la ingeniería inversa es prácticamente imposible, y la fuerza bruta cuestión de suerte, pero si se dispone de un número suficiente de muestras (que fuesen idénticas antes de su encripción) se puede sacar la clave.
En fin, no sé si estoy sugiriendo ideas que no serían eficaces para el wpa, pero es sólo eso, una sugerencia.
Saludos!