Küszöbön a WPA3, másfél évtized után frissülhet a Wi-Fi biztonság

A Wi-Fi eszközöket célzó támadások egyre szélesedő fegyvertárral dolgoznak, amelyek ellen lassan a mintegy másfél évtizede szolgálatban lévő WPA2 biztonsági protokoll sem nyújt teljes védelmet. Ideje volt tehát a generációs váltásnak, a Wi-Fi Alliance bejelentette a WPA3 részletes specifikációit, amelyre a készülékgyártók már le is csaphatnak. A WPA3 a protokollt, illetve a szabványt felügyelő szövetség szerint egy sor új funkcióval teszi majd hatékonyabbá és nem utolsó sorban egyszerűbbé a Wi-Fi biztonságot. Az új generáció összetettebb hitelesítést, erősebb titkosítást és az üzleti kritikus hálózatok jobb támogatását ígéri, miközben kigyomlálja az elavult protokollokat és kötelezővé teszi a PMF (Protected Management Frames) használatát.

A frissített protokoll - akárcsak elődjei - két biztonsági móddal érkezik, a Wi-Fi Alliance itt is megkülönbözteti a WPA3-Personal és WPA3-Enterprise variánsokat, a felhasználási módtól függően. Előbbi kiterjedtebb és biztonságosabb jelszóalapú autentikációt kínál az egyéni felhasználók védelmére: a WPA3-Personal esetében az eddig használt PSK-t (Pre-shared Key) a SAE (Simultaneous Authentication of Equals) váltja le, amely sokkal ellenállóbb a szótáralapú brute force támadások ellen, mikor a támadó egy adatbázisból automatizáltan próbálgatja végig a lehetséges bejelentkezési azonosítókat, egyéb hálózati interakció nélkül. Utóbbi támadások jellemzően a viszonylag rövid jelszavak ellen vethetők be, egy 30 karakteres jelszónál már nem túl hatékonyak - a felhasználók többsége viszont nem a kiemelten jó jelszóadási gyakorlatáról híres.

A WPA3 a rövid jelszavak mellett is nagyobb biztonságot kínál majd, miután a négyes kézfogásra építő WPA2-t maga mögött hagyja - ez utóbbi nyitott utat tavaly ősszel a hírhedt KRACK biztonsági résnek is, amely az új protokoll fejlesztésének is lökést adott. A WPA3-mal bevezetett SAE bizonyos számú sikertelen próbálkozás után blokkolja majd az azonosítási kérelmeket, így komoly akadályt gördítve a brute force támadások elé. A SAE továbbá az úgynevezett forward secrecy támogatását is elhozza, vagyis a kapcsolat felépítéséhez használt privát kulcsot az eszköz nem tárolja el, így egyetlen kulcs megtörése nem teszi lehetővé a támadó számára a forgalom visszamenőleges visszafejtését. Ennek megfelelően a támadók még a jelszó birtokában sem lesznek képesek a korábbi forgalom visszafejtésére. A protokoll WPA3-Enterprise módja elsősorban a nagyvállalati, kormányzati ügyfeleket, illetve pénzintézeteket céloz, olyan funkciókkal mint a GCMP-256 (256-bit Galois/Counter Mode Protocol) titkosítás vagy épp a 384 bites hashelt üzenetautentikációs mód, biztonságos hash algoritmussal (HMAC-SHA384).

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Mindezek mellett a protokoll legfrissebb generációja az újonnan bevezetett Wi-Fi Easy Connect megoldással is bővül, amelyen keresztül a beviteli felülettel - mint érintőkijelző vagy billentyűzet - akár egyáltalán nem rendelkező eszközök is könnyebben csatlakozhatnak a hálózatra. A funkció használatához elég az adott routeren található QR-kódot okostelefonnal beszkennelni, majd ugyanígy leolvasni a csatlakoztatni kívánt eszköz kódját is - ezzel nyilvános kulcsot használva létre is jön a Wi-Fi kapcsolat. A Wi-Fi Easy Connect a WPA3-mal párhuzamosan opcionálisan a WPA2-t használó eszközökre is elérhetővé válik.

Végül de nem utolsó sorban a Wi-Fi Alliance által néhány hete bejelentett Wi-Fi Enhanced Open megoldás is említést érdemel, utóbbi a nyílt Wi-Fi hálózatokat tenné biztonságosabbá, például a reptereken, kávézókban. A megoldás lényege, hogy egy OWE (Opportunistic Wireless Encryption) algoritmussal a router és a felhasználók közötti minden kapcsolatot külön titkosít, dedikált titkosítási kulccsal. A technológia így elvágja a lehetőséget az egyazon hálózaton dolgozó felhasználók közötti illetéktelen kémkedésre.

A WPA3-as eszközök várhatóan 2019 második felében láthatnak leghamarabb napvilágot, továbbá nem kizárt, hogy egyes már piacon lévő felső kategóriás, illetve vállalati eszközök szoftverfrissítéssel támogatást kapnak majd az új protokollhoz.