Objavljen 2018. godine, WPA3 je ažurirana i sigurnija verzija protokola zaštićenog pristupa Wi-Fi mreže za zaštitu bežičnih mreža. Kao što smo opisali u
Kada se uređaj pokušava prijaviti na Wi-Fi mrežu zaštićenu lozinkom, koraci isporuke i provjere lozinke poduzimaju se četverosmjernim rukovanjem. U WPA2 ovaj je dio protokola bio ranjiv na napade KRACK-a:
U ključnom napadu ponovne instalacije [KRACK] protivnik pokušava navesti žrtvu da ponovo instalira ključ koji je već u upotrebi. To se postiže manipulacijom i reprodukcijom kriptografskih poruka o rukovanju. Kad žrtva ponovo instalira ključ, pridruženi parametri, poput inkrementalnog broja paketa za prijenos (tj. Bez obzira) i primaju paket (tj. Brojač ponovne reprodukcije) vraćaju se na početnu vrijednost. U osnovi, za osiguranje sigurnosti, ključ treba instalirati i koristiti samo jednom.
Čak i uz ažuriranja WPA2 radi ublažavanja ranjivosti KRACK-a, WPA2-PSK se još uvijek može razbiti. Postoje čak i upute za hakiranje WPA2-PSK lozinki.
WPA3 ispravlja ovu ranjivost i ublažava druge probleme koristeći drugačiji mehanizam stiskanja ruku za autentifikaciju na Wi-Fi mrežu - istodobna provjera identiteta jednake, poznata i kao Dragonfly Key Exchange.
Tehnički detalji o tome kako WPA3 koristi razmjenu Dragonfly ključeva - koja je i sama varijacija SPEKE (Simple Password Exponential Key Exchange) - opisani su u ovom videu.
Prednosti Dragonfly ključ razmjene su naprijed tajnost i otpornost na dešifriranje izvan mreže.
Ranjivost WPA2 protokola je u tome što napadač ne mora ostati povezan s mrežom da bi pogodio lozinku. Napadač može njušiti i uhvatiti četverosmjernu stisak početne veze koja se temelji na WPA2 u blizini mreže. Ovaj zarobljeni promet tada se može koristiti izvan mreže u napadu na temelju rječnika za nagađanje lozinke. To znači da ako je lozinka slaba, lako je probiti. Zapravo, alfanumeričke lozinke do 16 znakova mogu se prilično brzo probiti za WPA2 mreže.
WPA3 koristi sustav Dragonfly Key Exchange tako da je otporan na napade na rječnik. To je definirano na sljedeći način:
Otpor prema rječniku znači da svaka prednost koju protivnik može steći mora biti izravno povezana s brojem interakcija koje ostvari s poštenim sudionikom protokola, a ne pomoću računanja. Protivnik neće moći dobiti nikakve podatke o zaporki, osim je li jedna nagađanja iz vođenja protokola točna ili netočna.
Ova značajka WPA3 štiti mreže u kojima je mrežna lozinka - tj. Unaprijed podijeljeni ključ (PSDK) - slabija od preporučene složenosti.
Bežično umrežavanje koristi radijski signal za prijenos informacija (paketa podataka) između klijentovog uređaja (npr. Telefona ili prijenosnog računala) i bežične pristupne točke (usmjerivač). Ti se radio signali emitiraju otvoreno i može ih presresti ili „primiti“ bilo tko u blizini. Kad je bežična mreža zaštićena lozinkom - bilo da je WPA2 ili WPA3 - signali su šifrirani, tako da treća strana koja presreće signale neće moći razumjeti podatke.
Međutim, napadač može zabilježiti sve te podatke koje presreću. A ako budu u mogućnosti pogoditi lozinku u budućnosti (što je moguće putem rječnika na WPA2, kao što smo vidjeli gore), mogu pomoću ključa dešifrirati promet podataka zabilježen u prošlosti na toj mreži.
WPA3 pruža tajnu prema naprijed. Protokol je osmišljen na način da je čak i uz mrežnu lozinku nemoguće prisluškivati da preskače promet između pristupne točke i drugog klijentskog uređaja.
Opisano u ovom bijelom tekstu (RFC 8110), opportunistička bežična enkripcija (OWE) nova je značajka u WPA3 koja zamjenjuje 802.11 "otvorenu" provjeru autentičnosti koja se široko koristi u žarišnim točkama i javnim mrežama.
Ovaj YouTube videozapis pruža tehnički pregled OWE-a. Ključna ideja je korištenje mehanizma za razmjenu ključeva Diffie-Hellman za šifriranje sve komunikacije između uređaja i pristupne točke (usmjerivača). Ključ za dešifriranje komunikacije različit je za svakog klijenta koji se povezuje na pristupnu točku. Dakle, nijedan drugi uređaj na mreži ne može dešifrirati ovu komunikaciju, čak i ako je slušaju u njoj (što se naziva njuškanjem). Ta se korist zove Pojedinačna zaštita podataka-podatkovni promet između klijenta i pristupne točke "individualiziran"; pa dok ostali klijenti mogu njuškati i snimati ovaj promet, ne mogu ga dešifrirati.
Velika prednost OWE-a je što štiti ne samo mreže koje zahtijevaju lozinku za povezivanje; štiti i otvorene "nesigurne" mreže koje nemaju zahtjeve za zaporku, npr. bežične mreže u knjižnicama. OWE pruža ovim mrežama šifriranje bez autentifikacije. Nije potrebno predviđanje, pregovaranje i vjerodajnice - to jednostavno funkcionira bez da korisnik mora nešto učiniti ili čak znati da je njezino pregledavanje sada sigurnije..
Napomena: OWE ne štiti od "skitnih" pristupnih točaka (AP) poput AP-a sa medom ili zlih blizanaca koji pokušavaju izigrati korisnika da se poveže s njima i ukrade podatke.
Sljedeće upozorenje je da WPA3 podržava - ali ne nalaže neautorificirano šifriranje. Moguće je da proizvođač dobije WPA3 oznaku bez primjene neovlaštene enkripcije. Značajka se sada naziva Wi-Fi CERTIFIED Enhanced Open, tako da bi kupci trebali potražiti ovu naljepnicu pored WPA3 oznake kako bi osigurali da uređaj koji kupuju podržava neovlašteno šifriranje.
Wi-Fi uređaj za pružanje protokola (DPP) zamjenjuje manje sigurni Wi-Fi zaštićeni postav (WPS). Mnogi uređaji u kućnoj automatizaciji - ili Internetu stvari (IoT) - nemaju sučelje za unos lozinke i moraju se pouzdati u pametne telefone kako bi posredovali u postavljanju Wi-Fi-ja.
Još jednom upozorenje je da Wi-Fi Alliance nije odredio da se ova značajka koristi za dobivanje WPA3 certifikata. Dakle, tehnički nije dio WPA3. Umjesto toga, ova značajka sada je dio njihovog Wi-Fi CERTIFIED Easy Connect programa. Stoga potražite tu naljepnicu prije kupnje hardvera s WPA3 certifikatom.
DPP omogućuje provjeru autentičnosti uređaja na Wi-Fi mreži bez zaporke, koristeći QR kôd ili NFC (komunikacija u blizini polja, ista tehnologija koja omogućuje bežične transakcije na Apple Pay ili Android Pay) oznakama.
Sa zaštićenom postavkom za Wi-Fi (WPS) lozinka se s vašeg telefona komunicira na IoT uređaju koji zatim lozinku koristi za provjeru autentičnosti na Wi-Fi mreži. No s novim protokolom za pružanje uređaja (DPP) uređaji provode međusobnu provjeru autentičnosti bez zaporke.
Većina WPA2 implementacija koristi 128-bitne AES ključeve za šifriranje. IEEE 802.11i standard također podržava 256-bitne ključeve za enkripciju. U WPA3, dulje veličine ključeva - protuvrijednost 192-bitne sigurnosti - propisane su samo za WPA3-Enterprise.
WPA3-Enterprise odnosi se na provjeru autentičnosti poduzeća koja koristi korisničko ime i lozinku za povezivanje s bežičnom mrežom, a ne samo lozinku (aka prethodno podijeljeni ključ) koja je tipična za kućne mreže.
Za potrošačke aplikacije, certifikacijski standard za WPA3 učinio je duljim dimenzijama ključa. Neki će proizvođači koristiti dulje veličine ključa jer su sada podržane protokolom, ali potrošač će morati izabrati odabir usmjerivača / pristupne točke koji će.
Kao što je gore opisano, tijekom godina WPA2 je postao ranjiv na razne oblike napada, uključujući zloglasnu KRACK tehniku za koju su zakrpe dostupne, ali nisu za sve usmjerivače, a korisnici ih ne primjenjuju u širokoj mjeri jer zahtijevaju nadogradnju upravljačkog softvera..
U kolovozu 2018. otkriven je još jedan vektor napada za WPA2.[1] To olakšava napadaču koji njuška stisak ruke WPA2 da dobije hash unaprijed podijeljenog ključa (lozinke). Napadač tada može upotrijebiti tehniku grube sile kako bi uporedio ovaj hash sa heševima s popisom najčešće korištenih lozinki ili popisom nagađanja koja pokušava svaku moguću varijaciju slova i brojeva različite duljine. Koristeći resurse računalstva u oblaku, nebitno je pogoditi bilo koju lozinku duljinu od 16 znakova.
Ukratko, sigurnost WPA2 jednako je dobra kao i lomljiva, ali samo za WPA2-Personal. WPA2-Enterprise je puno otporniji. Dok WPA3 nije široko dostupan, upotrijebite snažnu lozinku za svoju WPA2 mrežu.
Nakon uvođenja u 2018. godinu, očekuje se da će proći 12-18 mjeseci da bi podrška prešla u redovnu mrežu. Čak i ako imate bežični usmjerivač koji podržava WPA3, vaš stari telefon ili tablet možda neće primati nadogradnje softvera potrebne za WPA3. U tom slučaju pristupna će se točka vratiti na WPA2 pa se i dalje možete povezati s usmjerivačem, ali bez prednosti WPA3.
Za 2-3 godine, WPA3 postat će mainstream i ako kupujete hardver usmjerivača sada je preporučljivo buduće dokaze o kupnji..