Una guida allo standard WPA3 WiFi

Usiamo tutti WiFi sempre. Esistono più dispositivi WiFi che persone. È il modo in cui la maggior parte di noi si connette a Internet e gran parte di tale attività Internet comporta la comunicazione di dati personali e altamente sensibili.

È quindi un peccato che WPA2, lo standard utilizzato per proteggere i dati mentre viaggiano sulle onde radio tra il dispositivo e il router che lo collega a Internet, è completamente rotto.

Un white paper pubblicato nell'ottobre dello scorso anno ha dimostrato che ogni connessione WPA2 non è sicura. Grazie alla vulnerabilità di KRACK, tutti i dati non crittografati inviati tramite WiFi praticamente su ognuno dei 9 miliardi di dispositivi WiFi sul pianeta, possono essere facilmente ficcati dagli hacker.

E forse la cosa più allarmante al momento era che non c'era nulla che potesse sostituirlo...

WPA3

Non sorprende quindi che Wi-Fi Alliance abbia recentemente annunciato il lancio del successore di WPA2, WPA3 abilmente inclinato. Non solo risolve la vulnerabilità di KRACK, ma risolve molti altri problemi con la sicurezza WiFi in generale che sono diventati sempre più evidenti da quando WPA2 è stato introdotto nel 2004.

WPA3

WPA3 è disponibile in due versioni: WPA-Personal e WPA-Enterprise.

WPA3-Personal

KRACK risolto

Lo standard WPA2 scricchiola da un po 'di tempo, ma è stata la scoperta della vulnerabilità di Key Reinstallation Attack (KRACK) a galvanizzare Alleanza WiFi introducendo un nuovo standard che revisiona la sicurezza WiFi.

KRACK sfrutta un difetto nell'handshake a quattro vie utilizzato per proteggere le connessioni WPA2 ai router, indipendentemente dalla piattaforma o dal dispositivo utilizzato.

Krack

WPA3 risolve questo problema utilizzando invece un'handshake di autenticazione simultanea di pari (SAE). Una variante del protocollo di scambio chiavi Dragonfy, sostituisce l'uso di una chiave pre-condivisa (PSK) in WPA2 e una prova di sicurezza pubblicata indica che è altamente sicura.

Migliore sicurezza della password

Nel revisionare la sicurezza WiFi, WiFi Alliance cerca anche di proteggerci da noi stessi. Il più grande problema di sicurezza con il WiFi è che la maggior parte delle persone usa password molto deboli e facili da indovinare.

E anche se hai modificato la password, WPA2 consente a un utente malintenzionato di fare ipotesi illimitate. Ciò consente loro di eseguire un attacco del dizionario che lancia migliaia di password comuni al minuto sul router fino a quando non trova quella giusta.

WPA3 mitiga gli attacchi di password in due modi. L'handshake di autenticazione simultanea di uguali impedisce gli attacchi del dizionario impedendo a un utente malintenzionato di fare più di una supposizione sulla password per attacco. Ogni volta che viene immessa una password errata, è necessario riconnettersi alla rete per fare un'altra ipotesi.

La selezione della password naturale è un'altra nuova funzionalità. Si sostiene che ciò aiuterà gli utenti a scegliere password complesse ma facili da ricordare.

Segretezza diretta

Forward Secrecy significa che ogni volta che viene stabilita una connessione WPA3, viene generato un nuovo set di chiavi di crittografia. Se un utente malintenzionato dovesse mai compromettere la password del router, non sarà in grado di accedere ai dati che sono già stati trasmessi poiché è protetto da diversi set di chiavi.

WPA3-Enterprise

Come suggerisce il nome, WP3-Enterprise mira a fornire alle aziende, ai governi e agli istituti finanziari una sicurezza ancora maggiore.

I dati sono protetti con un codice Galois / Counter Mode Protocol (GCMP-256) a 256 bit, utilizzando uno scambio di chiavi ECDH o ECDSA a 384 bit con autenticazione hash HMAC SHA385. I frame di gestione protetti (PMF) sono protetti utilizzando il protocollo di autenticazione dei messaggi Galois Broadcast / Multicast a 256 bit (BIP-GMAC-256).

È interessante notare che WiFi Alliance descrive questa suite di algoritmi di crittografia come "l'equivalente della forza crittografica a 192 bit".

critiche

Mathy Vanhoef è la ricercatrice di dottorato presso KU Leuven che ha scoperto la vulnerabilità di KRACK in WPA2. In un recente post sul blog, ha descritto WPA3 come un'occasione mancata.

WPA3 non è uno standard, in quanto tale. È un programma di certificazione. Se un prodotto supporta e implementa correttamente gli standard specificati per WPA3, WiFi Alliance gli conferirà la certificazione WPA3 ™ CERTIFICATA Wi-Fi.

Quando WPA3 è stato annunciato per la prima volta, è stato proposto di includere 4 standard chiave:

  1. La stretta di mano della libellula (SAE)
  2. Wi-Fi Easy Connect, una funzione che risolve le vulnerabilità note nell'attuale configurazione protetta Wi-Fi
  3. Wi-Fi Enhanced Open, volto a rendere più sicuro l'utilizzo degli hotspot WiFi pubblici fornendo una crittografia non autenticata durante la connessione a un hotspot aperto
  4. Aumenterebbe le dimensioni della chiave di crittografia della sessione.

Nella sua forma finale, tuttavia, gli standard 2-4 sono raccomandati per l'uso nei dispositivi WPA3 ma non sono richiesti. Per ricevere la certificazione WPA3 ™ CERTIFICATA Wi-Fi ufficiale, i produttori devono solo implementare una stretta di mano di autenticazione simultanea di uguale.

Gli standard Wi-Fi Easy Connect e Wi-Fi Enhanced Open ottengono ciascuno la propria certificazione separata da WiFi Alliance, mentre un aumento delle dimensioni della chiave di sessione è richiesto solo per la certificazione WPA3-Enterprise.

"Temo che, in pratica, ciò significhi che i produttori implementeranno semplicemente la nuova stretta di mano, schiaffeggeranno un'etichetta" certificata WPA3 "e avranno a che fare con [...] Ciò significa che se acquisti un dispositivo compatibile con WPA3, lì non garantisce in alcun modo che supporti queste due funzionalità. "

In tutta onestà con WiFi Alliance, la decisione è stata probabilmente presa al fine di incoraggiare i produttori di WiFi ad adottare lo standard il più presto possibile, rendendo meno arduo per loro l'implementazione.

Vi è anche una buona probabilità che i produttori scelgano volontariamente di includere gli standard Wi-Fi Easy Connect e Wi-Fi Enhanced Open nei loro prodotti WPA3.

Quindi che succede adesso?

WiFi Alliance non prevede che nessun prodotto WPA3 sarà disponibile per l'acquisto fino almeno alla fine di quest'anno e non prevede di vedere un'implementazione ampia fino alla fine del 2020 al più presto.

In teoria, la maggior parte dei prodotti WiFi può essere aggiornata a WPA3 tramite patch software. Sembra improbabile, tuttavia, che molti produttori dedicheranno risorse allo sviluppo di tali patch per prodotti esistenti che potrebbero invece essere spesi per lo sviluppo di nuovi prodotti per il mercato.

Questo non è vero per tutte le aziende. Il produttore di router Linksys, ad esempio, ha confermato il proprio impegno a rilasciare aggiornamenti del firmware WPA3 per "prodotti legacy".

Nella maggior parte dei casi, tuttavia, l'aggiornamento a WPA3 comporterà l'eliminazione del router e di tutti i dispositivi WiFi e la loro sostituzione con nuovi dispositivi WPA3. Dato che al momento ci sono circa 9 miliardi di dispositivi abilitati WiFi sul pianeta, questo non accadrà durante la notte.

Probabilmente ci vorranno quindi anni prima che l'ecosistema WiFi si sviluppi al punto in cui WPA3 potrebbe essere considerato onnipresente; e allora, ovviamente, potremmo aver urgentemente bisogno di un nuovo standard WPA4!

WPA3 è retrocompatibile

Dato che WPA2 è altamente insicuro, tutti dovrebbero davvero aggiornare a WPA3 il prima possibile. Realisticamente, tuttavia, la maggior parte delle persone non sta semplicemente gettando via i suoi costosi attrezzi esistenti.

È quindi utile che WPA3 sia retrocompatibile. I router WPA3 accettano connessioni da dispositivi più vecchi (WPA2) e i dispositivi WPA3 saranno in grado di connettersi a router più vecchi. Tuttavia, a meno che sia il router che il dispositivo non siano predisposti per WPA3, la connessione non trarrà vantaggio dal miglioramento della sicurezza offerto dal nuovo standard.

Fino a quando non sarai pienamente conforme a WPA3, ti consigliamo quindi vivamente di mitigare la vulnerabilità KRACK eseguendo una connessione VPN su tutti i tuoi dispositivi WPA2 (non il router stesso).

Allo stesso modo in cui l'utilizzo di una VPN ti protegge quando si utilizza un hotspot WiFi pubblico, ciò garantisce che tutti i dati che viaggiano tra il dispositivo e il router siano crittografati in modo sicuro e quindi al sicuro da un attacco KRACK.

Fare attenzione a visitare solo i siti Web HTTPS riduce anche il problema, ma richiede una costante vigilanza da parte vostra. I sistemi desktop possono essere collegati al router tramite un cavo Ethernet, il che li rende immuni agli attacchi KRACK.

Conclusione

WPA2 è rotto, quindi WPA3 non può arrivare abbastanza presto - e dovresti adottarlo il prima possibile. È un peccato che l'intero set originale di standard WPA3 non abbia apportato il taglio finale, ma se ciò si traduce in una più ampia adozione più rapida di WPA3, la decisione potrebbe essere giustificata.

I produttori possono decidere di includere gli standard Wi-Fi Easy Connect e Wi-Fi Enhanced Open nei loro prodotti WPA3, comunque.

Nel frattempo, tieni presente quanto sono insicure le tue connessioni WiFi esistenti e prendi provvedimenti per mitigare il problema.

Credito d'immagine: di BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me