WPA2 vs. WPA3

WPA2 vs. WPA3

Dikeluarkan pada tahun 2018, WPA3 adalah versi protokol akses yang dilindungi Wi-Fi yang dikemas kini dan lebih selamat untuk mendapatkan rangkaian tanpa wayar. Seperti yang diterangkan dalam perbandingan WPA2 dengan WPA, WPA2 telah menjadi cara yang disyorkan untuk menjamin rangkaian wayarles anda sejak tahun 2004 kerana ia lebih selamat daripada WEP dan WPA. WPA3 membuat penambahbaikan keselamatan lebih lanjut yang menjadikannya lebih sukar untuk memecah rangkaian dengan meneka kata laluan; Ia juga menjadikannya mustahil untuk menyahsulit data yang ditangkap pada masa lalu i.e., Sebelum kunci (kata laluan) retak.

Apabila Perikatan Wi-Fi mengumumkan butiran teknikal untuk WPA3 pada awal tahun 2018, siaran akhbar mereka menyuarakan empat ciri utama: jabat tangan yang lebih selamat dan lebih selamat untuk mewujudkan sambungan, kaedah mudah untuk menambah peranti baru dengan selamat ke rangkaian, beberapa perlindungan asas apabila menggunakan Buka titik panas, dan akhirnya meningkatkan saiz utama.

Spesifikasi akhir hanya memberi mandat jabat tangan baru tetapi beberapa pengeluar akan melaksanakan ciri -ciri lain juga.

Carta Perbandingan

WPA2 berbanding Carta Perbandingan WPA3
WPA2WPA3
Bermaksud Akses dilindungi Wi-Fi 2 Akses dilindungi Wi-Fi 3
Apa itu? Protokol keselamatan yang dibangunkan oleh Perikatan Wi-Fi pada tahun 2004 untuk digunakan dalam mendapatkan rangkaian tanpa wayar; direka untuk menggantikan protokol WEP dan WPA. Dikeluarkan pada tahun 2018, WPA3 adalah generasi akan datang WPA dan mempunyai ciri keselamatan yang lebih baik. Ia melindungi daripada kata laluan yang lemah yang boleh retak dengan mudah melalui meneka.
Kaedah Tidak seperti WEP dan WPA, WPA2 menggunakan standard AES dan bukannya cipher aliran RC4. CCMP menggantikan TKIP WPA. Penyulitan 128-bit dalam mod WPA3-Persononal (192-bit dalam WPA3-Enterprise) dan kerahsiaan ke hadapan. WPA3 juga menggantikan pertukaran kunci pra-perkongsian (PSK) dengan pengesahan serentak sama, cara yang lebih selamat untuk melakukan pertukaran utama awal.
Selamat dan disyorkan? WPA2 disyorkan melalui WEP dan WPA, dan lebih selamat apabila persediaan dilindungi Wi-Fi (WPS) dilumpuhkan. Ia tidak disyorkan melalui WPA3. Ya, WPA3 lebih selamat daripada WPA2 dengan cara yang dibincangkan dalam esei di bawah.
Bingkai pengurusan yang dilindungi (PMF) WPA2 mandat sokongan PMF sejak awal tahun 2018. Router yang lebih tua dengan firmware yang tidak dipatikan mungkin tidak menyokong PMF. WPA3 Mandat Penggunaan Bingkai Pengurusan Dilindungi (PMF)

Jabat tangan baru: Pengesahan serentak sama dengan (SAE)

Apabila peranti cuba log masuk ke rangkaian Wi-Fi yang dilindungi kata laluan, langkah-langkah membekalkan dan mengesahkan kata laluan diambil melalui jabat tangan 4 arah. Di WPA2, bahagian protokol ini terdedah kepada serangan Krack:

Dalam serangan pemasangan semula utama [Krack], musuh menipu mangsa untuk memasang semula kunci yang sudah digunakan. Ini dicapai dengan memanipulasi dan memainkan semula mesej jabat tangan kriptografi. Apabila mangsa memasang semula kunci, parameter yang berkaitan seperti nombor paket penghantaran tambahan (i.e. nonce) dan terima nombor paket (i.e. kaunter ulangan) ditetapkan semula ke nilai awal mereka. Pada dasarnya, untuk menjamin keselamatan, kunci hanya boleh dipasang dan digunakan sekali.

Walaupun dengan kemas kini ke WPA2 untuk mengurangkan kelemahan Krack, WPA2-PSK masih boleh retak. Malah ada panduan bagaimana untuk menggodam kata laluan WPA2-PSK.

WPA3 membetulkan kelemahan ini dan mengurangkan masalah lain dengan menggunakan mekanisme jabat tangan yang berbeza untuk mengesahkan pengesahan rangkaian Wi-Fi-simultan sama, juga dikenali sebagai Dragonfly Key Exchange.

Butiran teknikal mengenai bagaimana WPA3 menggunakan Exchange Key Dragonfly-yang sendiri adalah variasi Speke (Exchange Exponential Exponential Exchange) yang diterangkan dalam video ini.

Kelebihan Pertukaran Key Dragonfly adalah kerahsiaan ke hadapan dan penentangan terhadap penyahsulitan luar talian.

Tahan penyahsulitan luar talian

Kelemahan protokol WPA2 adalah bahawa penyerang tidak perlu terus berhubung dengan rangkaian untuk meneka kata laluan. Penyerang boleh menghidu dan menangkap jabat tangan 4-arah sambungan awal berasaskan WPA2 apabila berdekatan dengan rangkaian. Trafik yang ditangkap ini kemudiannya boleh digunakan di luar talian dalam serangan berasaskan kamus untuk meneka kata laluan. Ini bermaksud bahawa jika kata laluan lemah, mudah pecah. Malah, kata laluan alfanumerik sehingga 16 aksara boleh retak dengan cepat untuk rangkaian WPA2.

WPA3 menggunakan sistem pertukaran utama Dragonfly sehingga tahan terhadap serangan kamus. Ini ditakrifkan seperti berikut:

Rintangan terhadap serangan kamus bermaksud bahawa apa -apa kelebihan yang dapat diperoleh oleh musuh mestilah berkaitan langsung dengan bilangan interaksi yang dia buat dengan peserta protokol yang jujur ​​dan bukan melalui pengiraan. Musuh tidak akan dapat memperoleh maklumat mengenai kata laluan kecuali sama ada satu tekaan dari protokol yang betul adalah betul atau tidak betul.

Ciri WPA3 ini melindungi rangkaian di mana kata laluan rangkaian-i.e., Kunci Pra-Berkongsi (PSDK)-lebih lemah daripada kerumitan yang disyorkan.

Rahsia ke hadapan

Rangkaian Tanpa Wayar menggunakan isyarat radio untuk menghantar maklumat (paket data) antara peranti klien (e.g. telefon atau komputer riba) dan titik akses tanpa wayar (penghala). Isyarat radio ini disiarkan secara terbuka dan boleh dicegat atau "diterima" oleh sesiapa sahaja di sekitar. Apabila rangkaian wayarles dilindungi melalui kata laluan-sama ada WPA2 atau WPA3-isyarat disulitkan supaya pihak ketiga memintas isyarat tidak akan dapat memahami data.

Walau bagaimanapun, penyerang boleh merakam semua data ini yang mereka memintas. Dan jika mereka dapat meneka kata laluan pada masa akan datang (yang mungkin melalui serangan kamus pada WPA2, seperti yang telah kita lihat di atas), mereka boleh menggunakan kunci untuk menyahsulit lalu lintas data yang direkodkan pada masa lalu di rangkaian itu.

WPA3 memberikan kerahsiaan ke hadapan. Protokol ini direka dengan cara yang walaupun dengan kata laluan rangkaian, mustahil untuk penyamar untuk mengamuk lalu lintas antara titik akses dan peranti klien yang berbeza.

Penyulitan tanpa wayar oportunistik (berhutang)

Diterangkan dalam Whitepaper ini (RFC 8110), penyulitan tanpa wayar oportunistik (OWE) adalah ciri baru dalam WPA3 yang menggantikan 802.11 "Buka" Pengesahan yang digunakan secara meluas di hotspot dan rangkaian awam.

Video YouTube ini memberikan gambaran keseluruhan teknikal mengenai hutang. Idea utama adalah menggunakan mekanisme pertukaran utama Diffie-Hellman untuk menyulitkan semua komunikasi antara peranti dan titik akses (penghala). Kunci penyahsulitan untuk komunikasi berbeza untuk setiap pelanggan yang menyambung ke titik akses. Oleh itu, tiada peranti lain di rangkaian dapat menyahsulit komunikasi ini, walaupun mereka mendengarnya (yang dipanggil menghidu). Faedah ini dipanggil Perlindungan data individu-trafik data antara pelanggan dan titik akses adalah "individu"; Oleh itu, sementara pelanggan lain dapat menghidu dan merakam lalu lintas ini, mereka tidak dapat menyahsulitnya.

Satu kelebihan yang besar adalah bahawa ia melindungi bukan hanya rangkaian yang memerlukan kata laluan untuk disambungkan; Ia juga melindungi rangkaian "tidak bercagar" terbuka yang tidak mempunyai keperluan kata laluan, e.g. Rangkaian Tanpa Wayar di Perpustakaan. Hutang menyediakan rangkaian ini dengan penyulitan tanpa pengesahan. Tidak ada peruntukan, tidak ada rundingan, dan tidak ada kelayakan yang diperlukan - ia hanya berfungsi tanpa pengguna harus melakukan apa -apa atau bahkan mengetahui bahawa pelayarannya sekarang lebih selamat.

A Caveat: Hutang tidak melindungi terhadap titik akses "penyangak" (APS) seperti AP Honeypot atau Kembar Evil yang cuba menipu pengguna untuk menyambung dengan mereka dan mencuri maklumat.

Satu lagi kaveat adalah bahawa WPA3 menyokong-tetapi. Ada kemungkinan pengilang mendapat label WPA3 tanpa melaksanakan penyulitan yang tidak disahkan. Ciri ini kini dipanggil Wi-Fi Certified Enhanced Open supaya pembeli harus mencari label ini sebagai tambahan kepada label WPA3 untuk memastikan peranti yang mereka beli menyokong penyulitan yang tidak disahkan.

Protokol Penyediaan Peranti (DPP)

Protokol Peruntukan Peranti Wi-Fi (DPP) menggantikan persediaan dilindungi Wi-Fi yang kurang selamat (WPS). Banyak peranti di rumah automasi-atau internet perkara (IoT) -do tidak mempunyai antara muka untuk kemasukan kata laluan dan perlu bergantung pada telefon pintar untuk menengah persediaan wi-fi mereka.

Kaveat di sini sekali lagi adalah bahawa Perikatan Wi-Fi belum mengarahkan ciri ini digunakan untuk mendapatkan pensijilan WPA3. Oleh itu, ia bukan sebahagian daripada WPA3. Sebaliknya, ciri ini kini menjadi sebahagian daripada program Easy Connect Wi-Fi mereka. Oleh itu, cari label itu sebelum membeli perkakasan yang disahkan WPA3.

DPP membolehkan peranti disahkan ke rangkaian Wi-Fi tanpa kata laluan, menggunakan kod QR atau NFC (komunikasi berhampiran bidang, teknologi yang sama yang menguasai transaksi tanpa wayar pada Apple Pay atau Android Pay).

Dengan Persediaan Dilindungi Wi-Fi (WPS), kata laluan dikomunikasikan dari telefon anda ke peranti IoT, yang kemudian menggunakan kata laluan untuk mengesahkan ke rangkaian Wi-Fi. Tetapi dengan protokol peruntukan peranti baru (DPP), peranti melakukan pengesahan bersama tanpa kata laluan.

Kekunci penyulitan yang lebih panjang

Kebanyakan pelaksanaan WPA2 menggunakan kekunci penyulitan AES 128-bit. IEEE 802.Standard 11i juga menyokong kekunci penyulitan 256-bit. Di WPA3, saiz utama yang lebih lama-bersamaan dengan keselamatan 192-bit-hanya dimandatkan untuk WPA3-Enterprise.

WPA3-Enterprise merujuk kepada Pengesahan Perusahaan, yang menggunakan nama pengguna dan kata laluan untuk menyambung ke rangkaian tanpa wayar, bukan hanya kata laluan (alias pra-dikongsi kekunci) yang tipikal untuk rangkaian rumah.

Bagi aplikasi pengguna, piawaian pensijilan untuk WPA3 telah membuat saiz utama yang lebih lama. Sesetengah pengeluar akan menggunakan saiz utama yang lebih lama kerana mereka kini disokong oleh protokol, tetapi tanggungjawab akan menjadi pengguna untuk memilih titik penghala/akses yang dilakukan.

Keselamatan

Seperti yang diterangkan di atas, selama bertahun -tahun WPA2 telah menjadi terdedah kepada pelbagai bentuk serangan, termasuk teknik Krack yang terkenal yang mana patch tersedia tetapi bukan untuk semua router dan tidak digunakan secara meluas oleh pengguna kerana ia memerlukan peningkatan firmware.

Pada bulan Ogos 2018, namun vektor serangan lain untuk WPA2 ditemui.[1] Ini memudahkan penyerang yang menghidu jabat tangan WPA2 untuk mendapatkan hash kunci pra-kongsi (kata laluan). Penyerang kemudian boleh menggunakan teknik kekerasan untuk membandingkan hash ini terhadap hash dari senarai kata laluan yang biasa digunakan, atau senarai teka-teki yang mencuba setiap kemungkinan variasi huruf dan bilangan panjang yang berbeza-beza. Menggunakan sumber pengkomputeran awan, adalah remeh untuk meneka kata laluan kurang daripada 16 aksara.

Singkatnya, keselamatan WPA2 sama baiknya dengan patah, tetapi hanya untuk WPA2-Personal. WPA2-Enterprise jauh lebih tahan. Sehingga WPA3 tersedia secara meluas, gunakan kata laluan yang kuat untuk rangkaian WPA2 anda.

Sokongan untuk WPA3

Selepas pengenalannya pada tahun 2018, ia dijangka mengambil masa 12-18 bulan untuk sokongan untuk pergi ke arus perdana. Walaupun anda mempunyai penghala wayarles yang menyokong WPA3, telefon atau tablet lama anda mungkin tidak menerima peningkatan perisian yang diperlukan untuk WPA3. Dalam kes itu, titik akses akan kembali ke WPA2 supaya anda masih boleh menyambung ke penghala-tetapi tanpa kelebihan WPA3.

Dalam 2-3 tahun, WPA3 akan menjadi arus perdana dan jika anda membeli perkakasan router sekarang, anda dinasihatkan untuk membuktikan pembelian masa depan anda.

Cadangan

  1. Di mana mungkin, pilih WPA3 melalui WPA2.
  2. Semasa membeli perkakasan yang disahkan WPA3, lihat juga untuk Persijilan Terbuka Terbuka Wi-Fi dan Wi-Fi Easy Connect. Seperti yang diterangkan di atas, ciri -ciri ini meningkatkan keselamatan rangkaian.
  3. Pilih kata laluan yang panjang dan kompleks (kunci pra-perkongsian):
    1. Gunakan nombor, huruf besar dan bawah, ruang dan juga watak "khas" dalam kata laluan anda.
    2. Menjadikannya pasfrasa bukannya satu perkataan.
    3. Jadikannya panjang-20 aksara atau lebih.
  4. Sekiranya anda membeli penghala wayarles baru atau titik akses, pilih salah satu yang menyokong WPA3 atau merancang untuk melancarkan kemas kini perisian yang akan menyokong WPA3 pada masa akan datang. Penjual penghala wayarles secara berkala melepaskan peningkatan firmware untuk produk mereka. Bergantung pada seberapa baik vendor itu, mereka melepaskan peningkatan lebih kerap. e.g. Selepas kelemahan Krack, TP-Link adalah antara vendor pertama yang melepaskan patch untuk router mereka. Mereka juga mengeluarkan patch untuk router yang lebih tua. Oleh itu, jika anda meneliti penghala mana yang hendak dibeli, lihat sejarah versi firmware yang dikeluarkan oleh pengeluar tersebut. Pilih syarikat yang rajin mengenai peningkatan mereka.
  5. Gunakan VPN semasa menggunakan hotspot Wi-Fi awam seperti kafe atau perpustakaan, tanpa mengira sama ada rangkaian wayarles dilindungi kata laluan (i.e., selamat) atau tidak.