Vad är WPA3, är det säkert och ska jag använda det?

Vad är WPA3, är det säkert och ska jag använda det


Vad är WPA3? Wi-Fi Protected Access (WPA) kallas ofta som en säkerhetsstandard eller protokoll som används för att kryptera och skydda wi-fi-nätverk som det du antagligen använder hemma eller på jobbet, men det är faktiskt ett säkerhetscertifieringsprogram som utvecklats av Wi -Fi Alliance för att säkra trådlösa datornätverk.

WPA3, som släpptes i juni 2018, är efterträdaren till WPA2, som säkerhetsexperter beskriver som "trasig." Målet med att utveckla WPA3 var att förbättra WPA när det gäller användarvänlighet och ökad kryptografisk styrka. Liksom föregångaren kommer den i personliga och Enterprise-utgåvor, men den här versionen förbättras på WPA2 med mer robusta autentiserings- och krypteringsfunktioner och en lösning på den inbyggda bristen i WPA2, KRACK. Det innehåller också funktionalitet för att förenkla och säkrare anslutningen av IoT-wifi-enheter.

Problemet

KRACK-felet (Key Reinstallation Attack) kan kategoriseras som en allvarlig replay-attack och är en form av en man-i-mitt-attack. Det grundläggande problemet med WPA2, som framhävs av KRACK-upptäckten, är en brist i själva WPA2-certifieringsstandarden och inte en svaghet som orsakas av dålig produktkonfiguration eller serviceimplementering.

Vi kommer att dyka djupare in i KRACK senare, men i första hand är varje korrekt implementering av WPA2 troligtvis sårbar; sårbarheten är inneboende i WPA2-protokollet.

Lösningen

Som svar på detta debakel tillkännagav Wi-Fi Alliance® i juni 2018 införandet av Wi-Fi CERTIFIED WPA3 ™ -säkerhet, en wifi-certifieringsstandard som:

  1. Löser KRACK-sårbarheten
  2. Uppgraderar WPA2 med ytterligare säkerhetsfunktions. Detta är viktigt eftersom det finns flera wifi-säkerhetshål som är mer attraktiva för hackare och mycket lättare att bryta än KRACK.

Vad är WPA3? WPA3-certifiering för wifi-enheter kan löst jämföras med ett vägvärdigt certifikat för din bil. Utan certifiering kan hårdvaruförsäljare inte kräva överensstämmelse med Wi-Fi Alliansens säkerhetsstandarder.

Det kan vara en tid innan WPA3 får fullständigt inköp av wifi-användare; under tiden "WPA2-enheter kommer att fortsätta att samverka och ge erkänd säkerhet", enligt Wi-Fi Alliance. WPA2 fortsätter att vara obligatoriskt för alla wifi-certifierade enheter under övergångsperioden.

Vad är WPA3 och är det säkert?

Den här artikeln kommer att titta på hur WPA3 förbättrar WPA2-säkerheten och sätter KRACK i perspektiv. Även om WPA3 definitivt är rätt säkerhetsväg att ta i framtiden, bör användarna se till att de implementerar en mångfacetterad, skiktad säkerhetsstrategi för att skydda alla aspekter av deras wifi-nätverk. WPA3 räcker inte för att helt skydda wifi-nätverk, även om andra förbättringar än KRACK-korrigeringen går långt mot att ansluta andra wifi-säkerhetshål. Vi kommer också att diskutera en del av kritiken som har utjämnats vid WPA3. Slutligen kommer vi att beröra några av de sätt hemanvändare och företag kan utöva säker wifi. Är WPA3 säkert? Låt oss ta reda på det.

Omfattningen av KRACK-sårbarheten

Upptäckten av KRACK orsakade en viss oro i IT-gemenskapen, varför så många wifi-enheter använder WPA2, och fler och fler människor använder dessa enheter för att ansluta till internet. Enligt Wigle fanns det från januari 2018 mer än 400 miljoner trådlösa anslutningar över hela världen. KRACK kunde göra en stor andel av dem sårbara för attacker. (Förresten, det har ännu inte gjorts några dokumenterade KRACK-attacker i naturen.)

Är WPA3 säkert

Trådlös internetuppkoppling enligt internetanvändare över hela världen från och med juni 2015, per enhet (Källa: Statista)

Hur säkra är de nuvarande standarderna för wifi-kryptering?

  • Wired Equivalent Privacy (WEP) - Mycket opålitlig men fortfarande i bruk. Enligt Kaspersky Labs skulle det ta hackare bara några minuter att knäcka WEP-skyddade nätverk.
  • Öppna nätverk - Ingen säkerhet alls.
  • Wi-Fi Protected Access (WPA) - 2002 var WPA avsett att endast vara en mellanhandsåtgärd för att ersätta WEP och ersattes av WPA2 2004. Problemet med WPA var användningen av det ineffektiva TKIP-krypteringsprotokollet som inte är säkert.
  • Wi-Fi Protected Access 2 (WPA2)
    • De Personlig versionen är rimligt säker men sårbar för attacker av brute-force och ordbok. Det kan tillåta avlyssning av kommunikation (handskakning) mellan åtkomstpunkten och enheten i början av en wifi-session.
    • De Företag versionen är till en viss grad skyddad från handskakningsuppfattningar eftersom den använder ytterligare företagsautorisationsförfaranden.
  • Wi-Fi Protected Access 3 (WPA3) - Ersätter WPA2 från och med januari 2018 även om det kommer att ta lite tid att rulla ut. Det ger den bästa wifi-säkerheten för tillfället.

Tänk på att ENDAST WPA2-skyddade enheter är specifikt utsatta för en KRACK-attack. Ett öppet, osäkrat nätverk är inte krypterat och sårbart för nästan alla typer av attacker, men inte i termer av KRACK eftersom det inte använder WPA2.

Är WPA3 säkert

Krypteringstyper som används i offentliga wifi-hotspots globalt (Källa: Kaspersky Security Network (KSN))

En KRACKing-analogi

Brister i handskakningsförhandlingarna - punkten där åtkomstpunkt (AP) och router möts och hälsas för att bekräfta en klients uppgifter - ligger i centrum för WPA2-sårbarheten. Vi kommer att ta en mer ingående titt på varför vi i nästa avsnitt kommer att utforska vad som är WPA3.

För att ställa in scenen, här är en analogi för handskakningen process (om du tillåter fantasin lite licens.)

3-vägs-t.ex.

Illustration av en trevägs handskakning som beskrivs i analogin nedan (Källa: Wikipedia, med ändringar)

    1. Låt oss låtsas att du är i banken och berättaren ber om ditt namn, lösenord och telefonnummer innan de ger dig pengar. Du och banken har kommit överens om detta säkerhetsförfarande för att bevisa att du är den du säger att du är när du tar ut pengar.
    2. Du ger talaren ditt namn, lösenord och cellnummer. Vid denna bank är nästa steg i processen att banken skickar till din telefon a hemlig kod som du kommer att använda för att bekräfta din identitet.
    3. Under tiden, utan kännedom om dig, avlyser någon bakom dig i kön och har hört ditt namn och lösenord, och viktigast av allt ditt hemlig kod.
    4. När du har lämnat banken rycker avlyssningen upp till talaren och, medan din hemliga kod fortfarande är giltig, drar du tillbaka den sista av dina medel med ditt stulna namn, lösenord och hemlig kod.

Du har förmodligen upptäckt den svaga punkten i ovanstående scenario; säkerhet komprometterades vid något skede när du upprättade dina referenser; inte när dina referenser var överhead, utan för när du lämnade banken var din hemliga kod fortfarande giltig. Om det inte hade varit, skulle ditt namn, lösenord, mobiltelefonnummer och hemlig kod ha varit till ingen nytta för avlyssnaren.

Det finns en twist i det här berättelsen: talaren och avlyssningen är i cahoots. Denna falska teller har faktiskt förfalskat den verkliga telleren (som är ute och äter lunch) och det här är en man-i-mitt-attacken. Båda brottslingar har nu dina intyg.

Det här problemet, som vi kommer att se, är vad WPA3 löser.

Hur är WPA2 sårbar?

Den primära sårbarheten i WPA2 är fyrvägs handskakning den använder för att säkra wifi-anslutningar med en Pre-Shared Key (PSK). (I WPA3 ersätts PSK av en handskakning av samtidigt autentisering av lika (SAE).)

I det här avsnittet kommer vi att använda analogin från föregående avsnitt för att illustrera problemet.

Fördelad nyckel (PSK)

Den första delen av säkerhetskontrollen som du har genomgått i banken i analogin ovan kan löst jämföras med WPA2-PSK, autentisering vilket kräver att en person ansluter till ett wifi-nätverk (be om pengar i banken i vår metafor) med hjälp av en lösenfras. En PSK hänvisar till en ”delad hemlighet”, i detta fall ett lösenord.

Anmärkningar:

  • WPA2 utan PSK är ett alternativ som används om du vill använda en autentiseringsserver. Ett företag bör välja det här alternativet om det vill tilldela unika nycklar till anställdas enheter. Om en nyckel komprometteras skulle företaget bara behöva generera en ny nyckel för en enhet. Detta skulle också förhindra att andra enheter komprometteras med en förlorad eller stulen nyckel, vilket de kan vara om alla enheter använder samma nyckel.
  • Vad är skillnaden mellan WPA2-PSK och WPA2-Personligt? Termerna används omväxlande även om WPA2-Personal innebär användningen av AES, medan WPA2-PSK innebär ett val mellan äldre TKIP och AES. Som förklarats i en Cisco-blogg tillåter vissa enheter WPA med AES och WPA2 med TKIP. AES är valfritt i WPA men i WPA2 är AES obligatoriskt och TKIP är valfritt. Båda termerna hänvisar till användningen av PSK, vilket skiljer WPA2-Personal från WPA2-Enterprise.

Fyravägs handskakning

Intyg om autentisering i telekommunikation kallas handskakning. I banken utbytte du och talaren ett handsteg i tre steg för att fastställa dina referenser, den hemliga koden är den sista handskakningen i processen.

Alla wifi-nät använder a fyrvägs handskakning.

I bilden nedan är den förfalskade wifi-åtkomstpunkten den falska talaren som du har behandlat i banken.

Är WPA3 säkert

Illustration av hur en KRACK-attack avlyssnar en fyrvägshandskakning (Källa: Enisa)

Rowell Dionicio, som skriver för Packet6, förklarar: ”Anfallaren kommer att förfalska en riktig åtkomstpunkt och lura en klient att gå med i den falska åtkomstpunkten men tillåter Wi-Fi-autentisering att slutföras. För att dra av KRACK-attacken kommer angriparen att spela upp ett meddelande inom 4-vägs handskakningen. Felet här är att offrets enhet accepterar uppspelningen av ett av dessa meddelanden när det inte borde göra det. Således vilket gör att angriparen kan använda en tidigare nyckel. En nyckel ska bara användas en gång och det här är de felaktiga KRACK-attackmålen. ”

Dionicio fortsätter: ”Den tekniska fixen till en KRACK Attack är att förhindra återanvändningsvärden. Enheter får inte acceptera tidigare använda nycklar.”

Läs en mer teknisk förklaring av återanvändning av Mathy Vanhoef, forskare från KRACK.

Är WPA3 säkert? Visst, men det finns förbättringar av WPA2 också

Tillkännagivandet av WPA3 har gjort några vågor men det kommer att ta lite tid att rulla ut. Under tiden kommer vissa WPA2-förbättringar också att distribueras:

  • Att införa antagandet av Protected Management Frames (PMF) på alla "Wi-Fi CERTIFIED" enheter
  • Se till att leverantörer regelbundet kontrollerar certifierade enheter (source: Commisum)
  • Standardisering av den 128-bitars kryptografiska sviten (source: Commisum)

Vilka är de två WPA3-versionerna?

WPA finns i två versioner som är baserade på slutanvändarens krav (hem- eller affärsanvändning.) I motsats till detta är det inte mycket skillnad mellan WPA3-Personal och WPA3-Enterprise, även om den senare är säkrare som den var utformad för att skydda ultrakänsliga data och stora företag.

Låt oss snabbt sammanfatta de två versionerna som beskrivs av Wi-Fi Alliance. Till att börja med, båda versionerna:

  • Använd de senaste säkerhetsmetoderna
  • Avvisa föråldrade arvsprotokoll
  • Kräva användning av Protected Management Frames (PMF). "Handlingsramar för unicasthantering är skyddade från både avlyssning och smide, och handlingsramar för multicasthantering är skyddade från smide", enligt Wi-Fi Alliance. I ett nötskal beskriver Wikipedia hanteringsramar som "mekanismer som möjliggör dataintegritet, autenticitet för datainsprung och skydd för uppspelning." Du kan hitta en teknisk beskrivning av hur de fungerar på Cisco-webbplatsen.

WPA3-Personligt

Denna version ger lösenordsbaserad autentisering med god säkerhet även om användare väljer korta eller svaga lösenord. Det kräver ingen autentiseringsserver och är det grundläggande protokollet som hemanvändare och småföretag använder.

  • Använder 128-bitars kryptering
  • Använder en handskakning av samtidigt autentisering av lika (SAE) som skyddar mot brute force attacker
  • Incorporates Forward Secrecy innebär att en ny uppsättning krypteringsnycklar genereras varje gång en WPA3-anslutning upprättas, så om det ursprungliga lösenordet komprometteras spelar det ingen roll
  • Bolsters säkerhet i offentliga nätverk
  • Hanterar enkelt anslutna enheter
  • Tillåter naturligt lösenordsval, vilket Wi-Fi Alliance hävdar kommer att göra det lättare för användare att komma ihåg lösenfraser

WPA3-Enterprise

Ger extra skydd för företagsnätverk som överför känslig information, till exempel regeringar, sjukvårdsorganisationer och finansinstitut. Inkluderar valfritt 192-bitars säkerhetsläge för minsta hållfasthet, anpassat till Commercial National Security Algorithm (CNSA) Suite från utskottet för nationella säkerhetssystem. Detta var en begäran från den amerikanska regeringen.

Den största skillnaden mellan WPA3-Personal och WPA3-Enterprise är på autentiseringsnivå. Den personliga versionen använder PSK och Enterprise-versionen en cocktail med funktioner som ersätter IEEE 802.1X från WPA2-Enterprise. Besök Wi-Fi Alliance för teknisk specifikation.

För mer Eric Geier, som skriver för Cisco Press, förklarar hur företag kan gå över till WPA3-Enterprise.

Nya WPA3-funktioner

Fyra förbättringsområden

Fyra nya funktioner i WPA3 är utformade för att förbättra WPA2. dock, endast en av dessa är obligatorisk för WPA3-certifiering: draken handskakning. Nedan följer en kort sammanfattning av huvudfunktionerna. Vi kommer att gå mer i detalj i det här avsnittet.

  1. Säkrare handskakning - Samtidig autentisering av likvärdig (SAE) -protokoll (alias Dragonfly-handskakningen) kräver en ny interaktion med nätverket varje gång en enhet begär en krypteringsnyckel, vilket sänker hastigheten för en försök till attack och gör ett lösenord mer motståndskraftigt mot ordlista och brute kraft attacker. Det förhindrar också avkryptering av data offline.
  2. Ersättning av Wi-Fi-skyddad installation (WPS) - ett enklare sätt att säkert lägga till nya enheter till ett nätverk med hjälp av Wi-Fi Device Provisioning Protocol (DPP), som låter dig säkert lägga till nya enheter till ett nätverk med hjälp av en QR-kod eller ett lösenord. Easy Connect gör installationen särskilt lätt för anslutna hem- och IoT-enheter.
  3. Obekräftad kryptering - Bättre skydd när offentliga hotspots används Wi-Fi Enhanced Open som tillhandahåller obekräftad kryptering, en standard som heter Opportunistic Wireless Encryption (OWE).
  4. Större sessionstangentstorlekar - WPA3-Enterprise kommer att stödja nyckelstorlekar motsvarande 192-bitars säkerhet under autentiseringsstadiet, vilket blir svårare att knäcka.

Låt oss ta en mer detaljerad titt på litronen för förkortningar som nämns ovan.

Samtidig autentisering av jämställda (SAE) mot attacker av brute force

SAE är ett säkert lösenordsbaserat nyckelutbyte används av WPA3-Personal-versionen för att skydda användare från brute force attacker. Det är väl lämpat för nätnätverk, som får sitt namn från det sätt de skapar wifi-täckning. Comparitech beskriver installationen helt enkelt: "Genom att placera flera enheter runt ditt hem, var och en skickar en trådlös signal, skapar du ett 'mesh' eller nätverk av trådlös täckning runt ditt hem. Detta hjälper till att eliminera döda eller svaga fläckar. ”

Fördelarna med SAE:

  • Baserat på IEFT Dragonfly-nyckelutbyte, en kryptografisk modell för autentisering med hjälp av ett lösenord eller lösenfras, som är motståndskraftig mot både aktiva och passiva attacker och offline-ordbokattacker.
  • Aktiverar Framåt sekretess som låter en angripare spela in en krypterad överföring som potentiellt kan avkodas senare om lösenordet för det trådlösa nätverket komprometteras i framtiden
  • Tillåter bara ett lösenord gissa per session. Även om angripare stjäl data med hopp om att knäcka lösenordet i sin fritid offline, kommer de att stymmas av en gissningsfunktion eftersom de måste "fråga" wifi-routern varje gång om deras gissning var korrekt. I huvudsak begränsar detta en angripare till realtidsattacker. Det har varit fråga om denna funktion också kan begränsa legitima användare. I den verkliga världen är det osannolikt att legitima användare kommer att göra 100 automatiserade gissningar i följd inom en sekund, liksom hackare, och en applikation kan kodas för att tillåta ett begränsat antal gissningar innan det börjar bromsa tjänsten. Denna funktion försvårar också säkerheten för svaga lösenord.

Device Provisioning Protocol (DPP) för hantering av nätverk och IoT-enheter

Wi-Fi CERTIFIED Easy Connect ™ (som ersätter WPA2s WiFi Provisioning Service) hjälper dig att ansluta alla dina enheter, även de som inte har ett användarvänligt gränssnitt för att skriva in ditt lösenord (t.ex. Google Home eller ditt smarta kylskåp), med en enda mellanliggande enhet.

Wi-Fi Alliance beskriver hur det fungerar: En nätägare väljer en enhet som den centrala konfigurationspunkten. Medan en enhet med ett trevligt GUI är enklast kan du använda vilken enhet som helst som kan skanna en kod för snabb respons (QR) eller använda NFC som konfigurationsenhet. Att köra DPP - en registreringsprocedur i en storlek som passar alla - från den här enheten ansluter alla skannade enheter och ger dem de referenser som krävs för att få åtkomst till nätverket. Notera: Detta är en valfri funktion och är endast tillgänglig på enheter med Easy Connect.

Är WPA3 säkert

När en Wi-Fi-enhet har registrerats använder den sin konfiguration för att upptäcka och ansluta till nätverket via en åtkomstpunkt (Källa: Wi-Fi Alliance)

Opportunistic Wireless Encryption (OWE) för säkrare hotspot-surfing

OWE är föraren bakom WiFi förbättrad öppen funktion, implementerad till skydda användare i offentliga / gästhoteller och förhindra avlyssning. Den ersätter den gamla 802.11 ”öppna” autentiseringsstandarden. Med OWE är dina data krypterade även om du inte har angett ett lösenord. Det var utformat för att tillhandahålla krypterad dataöverföring och kommunikation i nätverk som inte använder lösenord (eller använder ett delat lösenord) med hjälp av individualiserat dataskydd (IDP); i huvudsak, varje godkänd session har sin egen krypteringstoken. Detta innebär att varje användares data skyddas i sitt eget valv. Men det fungerar också på lösenordsskyddade nätverk, vilket säkerställer att om en angripare får tag i nätverkslösenordet, de fortfarande inte har tillgång till krypterad data på nätverkets enheter (se SAE ovan.)

Är du sårbar för KRACK?

Allt är inte undergång och dimma. Alla som använder wifi är sårbara, men låt oss sätta problemet i perspektiv. En hackare kan bara fånga okrypterad trafik mellan din enhet och router. Om data har krypterats korrekt med HTTPS, kan en angripare inte läsa den.

Lite försäkring från Brendan Fitzpatrick, vice VD för Cyber ​​Risk Engineering, för Axio:

  • En attack kan inte startas på distans, en angripare måste befinna sig inom ett specifikt wifi-nätverk.
  • En attack sker endast under fyravägshandskakningen.
  • Wifi-lösenfrasen avslöjas inte under attacken och angriparen kan inte gå med i nätverket.
  • Endast om attacken är framgångsrik kan angriparen potentiellt dekryptera trafiken mellan offret och deras åtkomstpunkt.
  • För närvarande fokuserar attacken bara på klientsidan av handskakningen.

I ett blogginlägg noterar Robert Graham, KRACK "kan inte besegra SSL / TLS eller VPN." Han tillägger: ”Ditt hemnätverk är sårbart. Många enheter kommer att använda SSL / TLS, så det är bra, som ditt Amazon-eko, som du kan fortsätta använda utan att oroa dig för denna attack. Andra enheter, som dina Phillips-glödlampor, är kanske inte så skyddade. ”Lösningen? Patch med uppdateringar från din leverantör.

Vilken programvara och enheter som är sårbara för KRACK?

Enligt Matty Vanhoef kan Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys och andra alla påverkas av någon variant av attackerna. Linux- och Android-versioner 6.0 och senare är särskilt sårbara.

Du kan hitta en lista över berörda leverantörer på Cert Software Engineering Institute: s webbsida, databas över sårbarhetsanmärkningar. Webbplatsen innehåller länkar till leverantörsinformation om korrigeringar och korrigeringar.

Vilken typ av angreppssårbarheter utsätter inte tillräckligt säkrade nätverk?

Det är inte bara faran att bli KRACK'D. Ett osäkrat wifi-nätverk tigger att bli attackerat och WPA3 hjälper till att mildra dessa risker. US-Cert beskriver de potentiella attackscenarierna:

  • piggybacking - Typiskt inomhus wifi-intervall är 150 - 300 fot. Om du bor nära din granne kan din anslutning vara öppen för angripare ... eller till och med den nördiga sonen bredvid som använder din wifi för att ladda ner sina filmer.
  • wardriving - En typ av piggybacking där potentiella angripare kör runt i grannskap med en antenn och letar efter osäkrade trådlösa nätverk.
  • Onda tvillingattacker - I en ond tvillingattack efterliknar en angripare en åtkomstpunkt för allmänhetens nätverk och ställer in sin sändningssignal för att vara starkare än den som genereras av den legitima åtkomstpunkten. Naturligtvis ansluter användare till den starkare signalen, brottslingens. Offrets data läses sedan enkelt av hackaren. Kontrollera alltid namnet och lösenordet för en wifi-hotspot innan du ansluter.
  • Trådlös sniffning - Undvik offentliga åtkomstpunkter som inte är säkrade och där data inte är krypterade. Brottslingar använder "sniffare" för att hitta känslig information som lösenord eller kreditkortsnummer.
  • Obehörig datoråtkomst - En osäker hotspot kan göra det möjligt för en angripare att komma åt alla kataloger och filer som du oavsiktligt har gjort tillgängliga för delning. Blockera alltid fildelning offentligt.
  • Axlar surfing - I offentliga områden, se upp för lurare, angripare som ser dig skriva när de går förbi eller video din session. Du kan köpa ett skärmskydd för att undvika detta.

Stöld av mobila enheter - Det är inte bara nätverket som utgör en risk för dina data. Om din enhet blir stulen när du arbetar på en hotspot, är det en bonanzadag för brottslingar. Se till att dina data alltid är lösenordsskyddade och att känslig information är krypterad. Det inkluderar data på bärbara lagringsenheter.

Några varningar

Varningsord från hittarna av KRACK-bristen

Mathy Vanhoef, postdoktor i datasäkerhet vid KU Leuven och en av forskarna som upptäckte KRACK, på sin webbplats har några försiktiga kommentarer om WPA3 som är värt att fundera över.

  1. SAE handskakning - Om SAE-handskakningen inte genomförs noggrant kan det vara sårbart för sidokanalattacker, som Wikipedia beskriver som attacker baserade på information om programvaruimplementering. Det verkar som om exploaterbara sårbarheter som härrör från felaktiga konfigurationer inte kan undvikas ens av WPA3.
  2. Obekräftad kryptering - Även om användningen av Opportunistic Wireless Encryption (OWE) kommer att stärka användarnas integritet i öppna nätverk, föreslår Vanhoef att endast passiva attacker (sådana som hackare sniffar trafik) kan förhindras. Aktiva attacker (sådana som använder dummy-åtkomstpunkter för att lura användare) kommer fortfarande att göra det möjligt för en motståndare att avlyssna trafik. Vanhoef förklarar:

    En brist på OWE är att det inte finns någon mekanism för att lita på en åtkomstpunkt vid första användningen. Kontrast detta med till exempel SSH: första gången du ansluter till en SSH-server kan du lita på serverns offentliga nyckel. Detta förhindrar att en motståndare avlyssnar trafik i framtiden. Men med OWE finns det inget alternativ att lita på en viss AP vid första användningen. Så även om du anslöt till en viss AP tidigare, kan en motståndare ändå skapa en falsk AP och få dig att ansluta till den i framtiden.

  3. Missad möjlighet - Endast en av de fyra funktionerna som Wi-Fi Alliance prövat i uppbyggnaden till WPA3 är faktiskt obligatorisk för WPA3. ”Tyvärr kräver WPA3-certifieringsprogrammet endast stöd för den nya sländahandskakningen. Det är allt. De andra funktionerna är antingen valfria eller en del av andra certifieringsprogram. Jag är rädd att detta i praktiken innebär att tillverkarna bara kommer att implementera den nya handskakningen, smälla en "WPA3-certifierad" etikett på den och vara klar med den, "säger Vanhoef. Slutresultatet blir att slutanvändaren faktiskt inte vet vilka funktioner som ingår och hur säkra de är.

(Källa: Mathy Vanhoef och Frank Piessens. 2017. Nyckelinstallationsattacker: Tvinga nonce-återanvändning i WPA2. I fortsättningen av den 24: e ACM-konferensen om dator- och kommunikationssäkerhet (CCS). ACM.)

Vad har cynikerna, inklusive IT-utvecklare, att säga om WPA3?

Gå med i konversationerna på Bruce Schneiners blogg, DD-WRT, Security Stack Exchange eller Community Spiceworks för några intressanta inlägg om huruvida WPA3 verkligen är det ultimata universalmedlet för wifi-säkerhetsproblem. Och om sårbarheten är värt att spendera för mycket sömn över. Några bidrag:

  • ”Jag misstänker att WPA3 kommer att hjälpa. Ett tag - tills de dåliga pojkarna hittar ett annat hål.”
  • ”A stor inkomstström för hårdvaruförsäljare som kommer att sluta lappa nuvarande redskap och insistera på att du köper de nya WAP: erna om du vill ha WPA3. ”
  • ”Den mest nedslående aspekten av WPA3 är att liksom alla tidigare wifi-standarder (WEP, WPA, WPA2, till och med WPS) har den här varit utvecklats av ett slutet konsortium som endast är medlemmar […] Alla WPA3-tillkännagivanden lovar är att den slutna processen på WPA4 nu kan börja. ”
  • Attackvektorn med KRACK är helt enkelt för liten (och kommer att fortsätta att minska) för att göra dessa attacker utbredda. ”Öppna nät är till exempel inte sårbara för KRACK men är mycket mer utsatta för skadliga attacker än WPA2-nätverk. I skrivande stund har inga KRACK-attacker faktiskt dokumenterats. experter hävdar, det beror på att ansträngningen är för stor för cyberbrottslingar när det finns så många mjukare mål.

På den cyniska anmärkningen, öva säker wifi, håll dig informerad och börja spara för en ny router. Enligt Dion Phillips, som skriver för InfiniGate, ”... är det tveksamt att nuvarande trådlösa enheter kommer att uppdateras för att stödja WPA3 och mycket mer troligt att nästa våg av enheter kommer att genomföras genom certifieringsprocessen. Med det sagt kommer klientenheter också att behöva certifieras på samma sätt för att kunna dra nytta av den nya certifieringen. ”

Experter håller med om att utrullningen kommer att vara så sent som i slutet av 2019. Du måste köpa en ny router men WPA3 är bakåtkompatibel så att du kanske inte behöver uppgradera alla dina anslutna enheter, såvida de inte är riktigt gamla.

Hur kan du skydda dig själv?

Hur kan företag skydda sig? (Löst)

Mathew Hughes har några praktiska förslag härdade med några försiktighetsord.

  • Installera en bakåtkompatibel lapp - Tyvärr, säger Hughes, är det inte bara många som är långsamma att installera lappar, många tillverkare är långsamma med att utfärda dem.
  • Installera en VPN, en krypterad tunnel mellan enheter som förhindrar avlyssning av utomstående - För vissa människor, säger han, kan detta vara opraktiskt eftersom de inte kommer att kunna komma åt andra anslutna enheter i sitt nätverk.
  • Använda sig av SSL / TLS - Detta ger ett extra lager av kryptering för att förhindra tjuvar och avlyssningar när det krypterar paket i sessionskiktet snarare än i nätverkslagret (som kan riktas av KRACK-angripare.)
  • Uppdatera enheter och programvara - Se till att din IT-avdelning rullar ut regelbundna mjukvaruuppdateringar och korrigeringar för alla företagets enheter inklusive BYOD. Kontakta tillverkarna för att se till att de faktiskt har utfärdat korrigeringar som hanterar KRACK-bristen.

För övrigt, säkra din router - Se till att din router är låst, säker från interna hot eller utanförstående som besöker byggnaden. Det finns också ett antal standardvärden på din router som du kan ändra för att härda säkerheten, t.ex. begränsa inkommande trafik, inaktivera oanvända tjänster, ändra standardinloggningsinformation och ändra SSID på äldre enheter. Kontrollera att routerns brandvägg är aktiverad (det görs inte alltid automatiskt.) Använd SSID för att skapa separata åtkomstpunkter för din personal och kunder. Stäng av WiFi Protected Setup (WPS) som används för att hjälpa till med parningsenheter.

Läs också relaterade tips för hemnätverk nedan.

Wifi-säkerhetstips för hemnätverk och IoT-enheter (Löst)

    • Öva grundläggande wifi-säkerhetssinne - Läs Comparitechs guide för att säkra ditt hem wifi-nätverk.
    • Sluta använda wifi - Anslut till internet via en Ethernet- eller data-anslutning (3 / 4G) hemma, eller använd mobildata, särskilt för känsliga transaktioner.
    • Uppdatera enheter och programvara - Det inkluderar alla dina enheter såväl som din router. Kontakta tillverkarna för att se till att de faktiskt har utfärdat korrigeringar som hanterar KRACK-bristen.
    • Inaktivera fildelning - Medan det är frestande att dela foton med vänner och familj, försök att undvika att göra detta på en offentlig plats. Du bör också skapa en katalog för fildelning och begränsa åtkomsten till andra kataloger. Skydda alltid lösenord med allt du delar.
    • Utför inte känsliga transaktioner på offentliga platser - Gör din onlinebank hemma.
    • Installera HTTPS överallt - HTTPS Everywhere from Electronic Frontier Foundation (EFF) är en öppen källkod Firefox, Chrome och Opera förlängning som krypterar kommunikation med de flesta webbplatser. Tillägget är inte ett misslyckat alternativ om en webbplats inte erbjuder HTTPS-kryptering, men om den är tillgänglig kommer HTTPS Everywhere att se till att det här är innehållet den levererar.
    • Använda en VPN - Medan VPN: er ger stor säkerhet för dina data, se till att din leverantör är lika säkerhetsmedveten som du är och erkänner din rätt till integritet. Rapporterat av Bryan Clark i The Next Web-artikel, PureVPN, som hävdade att den inte håller loggar eller identifierar information från sina användare, tycktes på mystiskt sätt ha kommit med tillräckligt med loggad information för att FBI ska kunna spåra och gripa en stalker. Håller ditt VPN loggar? I en djupgående studie avslöjar Comparitech sanningen om 123 VPN-loggningspolicyer.
    • Ställ in en wifi-router hemma - En virtuell router låter dig dela din internetanslutning med andra enheter i närheten. Det är lättare än du tror, ​​liknande att ställa in en wifi-hotspot på din smartphone.
    • Säkra din router - Det finns ett antal standardvärden på din router som du kan ändra för att härda säkerheten, t.ex. begränsa inkommande trafik, inaktivera oanvända tjänster och ändra SSID på äldre enheter.
    • Bekräfta att din Internet-leverantör är uppdaterad - Många wifi-användare använder routern som levereras av sin Internet-leverantör. Om du gör det, bekräfta att din internetleverantör har korrigerat alla enheter.
    • Undvik allmänna wifi-hotspots - Eller, åtminstone lära dig att minimera riskerna med att använda allmän wifi.
    • Manuellt kontrollera URL: er är säkra - HTTP-URL: er använder SSL-kryptering för att skydda besökare på deras webbplats. HTTP-webbadresser gör det inte. Du kan se om en URL är säker i adressfältet. Aktivera också Använd alltid en säker anslutning (HTTPS) på din enhet.
    • Använd säkra lösenord - Comparitech har några förslag på hur du skapar starka lösenord. Ändra alltid standardlösenord som "Admin" eller "123".
    • Håll antivirusprogrammen uppdaterad - Välj ansedd antivirusprogramvara och håll den korrigerad. Det finns också gott om gratis antivirusprogram runtom.
    • Stäng av den - Stäng av din wifi-anslutning när du inte använder den och inaktivera automatisk återanslutning.
    • Använd flerskiktssäkerhet - Håll ditt operativsystems brandvägg uppdaterad och använd tvåfaktorautentisering för att få åtkomst till dina internetkonton.
    • Använd AES-kryptering (Advanced Encryption Standard) - Kontrollera att ditt hemnätverk använder WPA2 med AES-kryptering, inte TKIP. Båda krypteringsalternativen är känsliga för trafikavkryptering via KRACK, men AES är inte sårbart för paketinjektion.

Behöver jag WPA3?

Det är bättre att vara säker än ledsen, så ja, det gör du. Men under övergångsperioden (den period då leverantörer kommer att certifiera sina enheter) kan du korrigera WPA2.

Att ändra ditt WPA2-lösenord skyddar dig inte mot en KRACK-attack som fokuserar på nyckelhantering. Det är dock säkerhetsmässigt att alltid välja starka lösenord.

Men räcker det?

John Wu, i en artikel på LinkedIn, säger WPA3 är inte tillräckligt för att säkerställa total wifi-säkerhet eftersom hackare använder andra metoder för att attackera wifi-metoder. ”Det senaste VPNFilter-viruset utnyttjar inte någon av WPA2-bristerna. Istället riktar attacken kända sårbarheter i WiFi-routrarnas webbgränssnitt, fjärrportar som är öppna med hårdkodade lösenord, mjukvara som inte är uppdaterad och sårbara anslutna IoT-enheter. "

Lösningen? Använd checklistorna ovan för att skydda dina wifi-anslutningar som en guide till att skapa en skiktad strategi för wifi-säkerhet. Överst på listan? Håll dig uppdaterad med lappar.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

66 − 57 =