Een gids voor WPA3 WiFi-standaard

We gebruiken allemaal altijd wifi. Er zijn meer wifi-apparaten dan er mensen zijn. Het is hoe de meesten van ons verbinding maken met internet en veel van die internetactiviteit omvat het communiceren van zeer gevoelige en persoonlijke gegevens.


Het is daarom jammer dat WPA2, de standaard die wordt gebruikt om gegevens te beschermen tijdens het reizen over de radiogolven tussen uw apparaat en de router die het met internet verbindt, volledig is verbroken.

Een whitepaper gepubliceerd in oktober vorig jaar toonde aan dat elke WPA2-verbinding onveilig is. Dankzij de kwetsbaarheid van KRACK kunnen alle niet-gecodeerde gegevens die via wifi op vrijwel alle 9 miljard wifi-apparaten op de planeet worden verzonden, gemakkelijk door hackers worden bekeken.

En misschien was het meest alarmerende destijds dat er niets was om het te vervangen...

WPA3

Het is daarom geen verrassing dat de Wi-Fi Alliance onlangs de lancering van de opvolger van WPA2 heeft aangekondigd, sluw gekanteld WPA3. Het lost niet alleen de kwetsbaarheid van KRACK op, maar lost ook veel andere problemen met wifi-beveiliging in het algemeen op die steeds duidelijker zijn geworden sinds WPA2 in 2004 werd geïntroduceerd.

WPA3

WPA3 is verkrijgbaar in twee versies: WPA-Personal en WPA-Enterprise.

WPA3-Personal

KRACK opgelost

De WPA2-standaard kraakt al geruime tijd, maar het was de ontdekking van de kwetsbaarheid van Key Reinstallation Attack (KRACK) die de WiFi Alliance tot een nieuwe standaard bracht die de WiFi-beveiliging vernieuwd.

KRACK maakt gebruik van een fout in de vierzijdige handdruk die wordt gebruikt om WPA2-verbindingen met routers te beveiligen, ongeacht het platform of apparaat dat wordt gebruikt.

Krack

WPA3 lost dit op door in plaats daarvan een handdruk voor simultaan authenticatie (SAE) te gebruiken. Een variant van het Dragonfy Key Exchange Protocol, dit vervangt het gebruik van een Pre-shared Key (PSK) in WPA2 en een gepubliceerde beveiligingsproef geeft aan dat het zeer veilig is.

Betere wachtwoordbeveiliging

Bij het herzien van WiFi-beveiliging probeert de WiFi Alliance ons ook tegen onszelf te beschermen. Het grootste beveiligingsprobleem met wifi is dat de meeste mensen zeer zwakke en gemakkelijk te raden wachtwoorden gebruiken.

En zelfs als u uw wachtwoord hebt gewijzigd, biedt WPA2 een aanvaller de mogelijkheid onbeperkt te raden. Hiermee kunnen ze een woordenboekaanval uitvoeren die duizenden algemene wachtwoorden per minuut naar uw router gooit totdat deze de juiste vindt.

WPA3 beperkt op twee manieren tegen wachtwoordaanvallen. De gelijktijdige verificatie van gelijk aan handshake voorkomt woordenboekaanvallen door te voorkomen dat een aanvaller per aanval meer dan één schatting van het wachtwoord maakt. Elke keer dat een onjuist wachtwoord wordt ingevoerd, moeten ze opnieuw verbinding maken met het netwerk om een ​​nieuwe schatting te maken.

Natuurlijke wachtwoordselectie is een andere nieuwe functie. Er wordt beweerd dat dit gebruikers zal helpen bij het kiezen van sterke, maar gemakkelijk te onthouden wachtwoorden.

Forward Secrecy

Forward Secrecy betekent dat elke keer dat een WPA3-verbinding wordt gemaakt, een nieuwe set coderingssleutels wordt gegenereerd. Als een aanvaller ooit het wachtwoord van uw router zou compromitteren, heeft deze geen toegang tot gegevens die al zijn verzonden, omdat deze worden beschermd door verschillende sets sleutels.

WPA3-Enterprise

Zoals de naam al doet vermoeden, wil WP3-Enterprise bedrijven, overheden en financiële instellingen nog meer zekerheid bieden.

Gegevens worden beschermd met een 256-bit Galois / Counter Mode Protocol (GCMP-256) codering, met behulp van een 384-bit ECDH- of ECDSA-sleuteluitwisseling met HMAC SHA385 hash-authenticatie. Protected Management Frames (PMF) worden beveiligd met 256-bit Broadcast / Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256).

Interessant is dat de WiFi Alliance deze suite van coderingsalgoritmen beschrijft als "het equivalent van 192-bit cryptografische sterkte."

kritieken

Mathy Vanhoef is de PHD-onderzoeker aan de KU Leuven die de KRACK-kwetsbaarheid in WPA2 ontdekte. In een recente blogpost beschreef hij WPA3 als een gemiste kans.

WPA3 is als zodanig geen standaard. Het is een certificeringsprogramma. Als een product de normen voor WPA3 ondersteunt en correct implementeert, zal de WiFi Alliance het Wi-Fi CERTIFIED WPA3 ™ -certificering toekennen.

Toen WPA3 voor het eerst werd aangekondigd, werd voorgesteld dat het 4 belangrijke normen zou omvatten:

  1. The Dragonfly handshake (SAE)
  2. Wi-Fi Easy Connect, een functie waarmee bekende kwetsbaarheden in de huidige Wi-Fi Protected Setup worden opgelost
  3. Wi-Fi Enhanced Open, bedoeld om het gebruik van openbare WiFi-hotspots veiliger te maken door niet-geverifieerde codering te bieden bij verbinding met een open hotspot
  4. Het zou de grootte van de sessiecoderingssleutel vergroten.

In zijn definitieve vorm worden de normen 2-4 echter aanbevolen voor gebruik in WPA3-apparaten, maar deze zijn niet vereist. Om officiële Wi-Fi GECERTIFICEERDE WPA3 ™ -certificatiefabrikanten te ontvangen, hoeven alleen een gelijktijdige authenticatie van gelijkwaardige handdruk te implementeren.

De Wi-Fi Easy Connect en Wi-Fi Enhanced Open-standaarden krijgen elk hun eigen afzonderlijke certificering van de WiFi Alliance, terwijl een grotere sleutelgrootte van de sessie alleen vereist is voor WPA3-Enterprise-certificering.

“Ik vrees dat dit in de praktijk betekent dat fabrikanten gewoon de nieuwe handshake zullen implementeren, er een 'WPA3 gecertificeerd' label op zullen slaan en ermee klaar zullen zijn [...] Dit betekent dat als je een apparaat koopt dat WPA3 ondersteunt, er is geen enkele garantie dat het deze twee functies ondersteunt. "

In alle eerlijkheid tegenover de WiFi Alliance, werd de beslissing waarschijnlijk genomen om WiFi-fabrikanten aan te moedigen de norm zo snel mogelijk aan te nemen door het voor hen minder lastig te maken om.

Er is ook een goede kans dat fabrikanten vrijwillig kiezen voor de Wi-Fi Easy Connect en Wi-Fi Enhanced Open-standaarden in hun WPA3-producten.

Dus wat is het volgende?

De WiFi Alliance verwacht niet dat WPA3-producten tot minstens dit jaar beschikbaar komen om te kopen, en verwacht niet op zijn vroegst tot eind 2020 een brede implementatie te zien.

In theorie kunnen de meeste WiFi-producten worden geüpgraded naar WPA3 via softwarepatches. Het lijkt echter onwaarschijnlijk dat veel fabrikanten middelen zullen inzetten voor het ontwikkelen van dergelijke patches voor bestaande producten die in plaats daarvan zouden kunnen worden besteed aan het ontwikkelen van nieuwe producten voor de markt..

Dit geldt niet voor alle bedrijven. Router-maker Linksys heeft bijvoorbeeld bevestigd dat hij zich ertoe verbindt WPA3-firmware-updates uit te geven voor 'legacy-producten'.

In de meeste gevallen betekent het upgraden naar WPA3 echter dat u uw router en al uw WiFi-apparaten weggooit en vervangt door nieuwe WPA3-apparatuur. Aangezien er momenteel ongeveer 9 miljard WiFi-compatibele apparaten op de planeet zijn, zal dit niet van de ene op de andere dag gebeuren.

Het zal daarom waarschijnlijk jaren duren voordat het WiFi-ecosysteem zich heeft ontwikkeld tot het punt waarop WPA3 als alomtegenwoordig kan worden beschouwd; en tegen die tijd hebben we natuurlijk misschien dringend een nieuwe WPA4-standaard nodig!

WPA3 is achterwaarts compatibel

Aangezien WPA2 zeer onzeker is, moet iedereen echt zo snel mogelijk upgraden naar WPA3. Realistisch gezien zullen de meeste mensen echter niet alleen hun dure bestaande uitrusting weggooien.

Het is daarom nuttig dat WPA3 achterwaarts compatibel is. WPA3-routers accepteren verbindingen van oudere (WPA2) apparaten en WPA3-apparaten kunnen verbinding maken met oudere routers. Maar tenzij zowel de router als het apparaat geschikt zijn voor WPA3, profiteert de verbinding niet van de verbeterde beveiliging van de nieuwe standaard.

Totdat u volledig WPA3-compatibel bent, raden wij u daarom ten zeerste aan om de KRACK-kwetsbaarheid te verminderen door een VPN-verbinding op al uw WPA2-apparaten (niet de router zelf) uit te voeren.

Net zoals het gebruik van een VPN u beschermt wanneer u een openbare wifi-hotspot gebruikt, zorgt dit ervoor dat alle gegevens die tussen uw apparaat en de router worden verzonden, veilig zijn gecodeerd en dus veilig voor een KRACK-aanval.

Zorg ervoor dat u alleen HTTPS-websites bezoekt, vermindert ook het probleem, maar vereist constante waakzaamheid van uw kant. Desktopsystemen kunnen via een Ethernet-kabel op uw router worden aangesloten, waardoor ze immuun zijn voor KRACK-aanvallen.

Conclusie

WPA2 is kapot, dus WPA3 kan niet snel genoeg komen - en je moet het zo snel mogelijk adopteren. Het is jammer dat de volledige originele set van WPA3-normen niet de laatste keer is gesneden, maar als dit resulteert in een snellere brede acceptatie van WPA3 dan kan de beslissing worden gerechtvaardigd.

Fabrikanten kunnen in elk geval besluiten om de Wi-Fi Easy Connect- en Wi-Fi Enhanced Open-normen in hun WPA3-producten op te nemen.

Houd in de tussentijd rekening met hoe onveilig uw bestaande wifi-verbindingen zijn en neem maatregelen om het probleem te verminderen.

Afbeelding tegoed: door BeeBright / Shutterstock.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me