WPA3 beschermt nu uw wifi-netwerk tegen twee nieuwe soorten aanvallen. De kwetsbaarheden die in WPA2 werden ontdekt, brachten de normalisatie-instellingen ertoe aan het werk te gaan om een nieuw, veilig cijfer te creëren.
Dit is hoe WPA3 in onze routers terecht is gekomen. Deze standaard kwam echter niet goed van start, omdat deze ook veel kwetsbaarheden had. Geleidelijk aan zijn deze gepatcht en zijn er nieuwe beveiligingen geïntroduceerd tegen twee nieuwe soorten aanvallen.
Er zijn steeds meer routers met wifi 6 en WPA3 op de markt, met prijzen die al onder de $ 50 liggen. Moederborden, laptops en mobiele telefoons die het afgelopen jaar zijn gelanceerd, ondersteunen ook beide standaarden. De WPA3-standaard wordt voortdurend verbeterd.
Zo ontving WPA3 in december 2019 zijn eerste grote update van verbeteringen, waarbij kwaadaardige tweelingaanvallen werden gepatcht bij gebruik van EAP-TLS, EAP-TTLS of EAP-PEAP. In december 2020 bevatte het andere nieuwe functies tegen verschillende aanvallen die actief waren in het netwerk. In totaal zijn er vier aanvallen waartegen de standaard nu beschermt, maar de WiFi Alliance heeft er slechts twee uitgewerkt.
Operating Channel Validation (OCV)
De eerste is Operating Channel Validation (OCV). Aanvallen die profiteren van netwerkdetectiesystemen, die geen validatie vereisen, worden al jaren door hackers gebruikt. Een van de kenmerken die door KRACK-aanvallen werden benut, was de Operating Channel Information (OCI), waarmee het toegangspunt en het apparaat de frequenties, bandbreedte en het maximale vermogen kunnen kennen dat bij communicatie kan worden gebruikt. Zonder OCI-authenticatie kunnen man-in-the-middle-aanvallen worden uitgevoerd.
Daarom introduceert WPA3 Operating Channel Validation, dat de OCI verifieert om elke mogelijke man-in-the-middle-aanval te vermijden. In de afbeelding kunnen we zien hoe, als de informatie die wordt ontvangen door het toegangspunt (de router bijvoorbeeld) niet overeenkomt met het kanaal waarop deze wordt ontvangen, de bevestiging wordt afgebroken. Hierdoor kan een aanvaller zichzelf niet positioneren om een man-in-the-middle-aanval uit te voeren.
Baken bescherming
De tweede beveiligingsfunctie heet Beacon Protection. Met deze beschermingsmaatregel biedt een toegangspunt zijn klanten een Beacon Integrity Key (BIK) tijdens het koppelingsproces en voegt het een integriteitscontrolebericht toe aan elk frame dat wordt verzonden. Het resultaat is dat clients die aan het toegangspunt zijn gekoppeld, de integriteit kunnen verifiëren van elk klein stukje gegevens dat hen bereikt, waardoor manipulatie wordt voorkomen, zoals het dwingen van een apparaat om meer stroom te gebruiken, de snelheid te verlagen of van kanaal te wisselen.
Met deze kleine verbeteringen wordt de standaard geleidelijk veiliger en robuuster en vecht hij tegen de woordenboekaanvallen die kunnen worden uitgevoerd met WPA2, waarvoor een complex en lang wachtwoord vereist is om te voorkomen dat deze wordt gekraakt door brute force-aanvallen. De kracht van de huidige grafische kaarten, of de mogelijkheid om servers in te huren voor computertaken, betekent dat wachtwoorden van minder dan 10 tekens binnen enkele uren of dagen kunnen worden gekraakt met een correct woordenboek als we WPA2 gebruiken.
