Wat is eigenlijk... WPA3?
Namens onszelf
Wat is WPA3?
WPA3 is de derde versie van het Wi-Fi Protected Access (WPA) protocol. Het werd begin 2018 aangekondigd door de Wi-Fi Alliance als opvolger van het veelgebruikte WPA2. De voorganger en tot dan toe als veilig beschouwde WPA2-protocol werd in oktober 2017 gedeeltelijk gekraakt door onderzoekers van de Universiteit van Leuven met behulp van de KRACK-aanval.
Welke voordelen biedt WPA3 ten opzichte van WPA2?
De nieuwe WPA-standaard werd in februari 2018 gepresenteerd op de technologiebeurs CES in Las Vegas. WPA3 dicht niet alleen het beveiligingsgat van de WPA2-standaard dat door KRACK aan het licht kwam, maar maakt WLAN's ook op andere manieren veiliger en de opzet ervan gebruiksvriendelijker. De Wi-Fi Alliance verzekert ook de compatibiliteit met WPA2-apparaten.
De beveiliging van de WLAN-apparaten zelf moet worden gegarandeerd door een herziene wachtwoordvraag. Met WPA2 was het mogelijk om met een eenvoudige aanval een zwak toegangswachtwoord voor een apparaat te raden. Hierbij hoefde een aanvaller niet actief verbonden te zijn met het doelnetwerk, maar hoefde hij alleen de handshakes binnen het netwerk korte tijd op te nemen en kon hij vervolgens offline een woordenboekaanval uitvoeren. In het WPA3-protocol kunnen wachtwoorden nu alleen worden achterhaald als het apparaat actief verbonden is. Vergelijkbaar met de vergrendelingsfunctie van een smartphone, wordt de tijd tussen meerdere onjuiste wachtwoordinvoeren exponentieel verlengd.
Het instellen van apparaten zonder display of grafische gebruikersinterface, zoals bij de meeste IoT-apparaten het geval is, moet worden vereenvoudigd. Daartoe wordt in WPA3 de nieuwe Easy Connect-functie gebruikt. IoT-apparaten met WPA3 moeten worden uitgerust met QR-codes, die gemakkelijk door een smartphone kunnen worden gescand en met andere apparaten kunnen worden verbonden.
Ook de beveiliging van overheids-, militaire, Industrie W-LAN of andere kritische netwerken met de hoogste beveiligingseisen moet worden gewaarborgd. Zo wordt de encryptie van lokale W-LAN-netwerken verhoogd tot 192-bit met WPA Enterprise voor bedrijven. Dit is echter niet achterwaarts compatibel met WPA2 en vereist derhalve de aanschaf van nieuwe, voor WPA3 geschikte apparaten voor de gehele W-LAN-infrastructuur.
Opportunistic Wireless Encryption (OWE) is een innovatie die allang had moeten plaatsvinden. Dit is de versleuteling van gegevensoverdracht tussen WLAN-apparaten en eindpunten in het lokale netwerk. Dit zou van bijzonder belang moeten zijn voor hotels, luchthavens of andere exploitanten van openbare hotspots die een internetverbinding aanbieden zonder registratie of authenticatie van de gebruiker. De komst van openbare hotspots maakte de overdracht van persoonsgegevens kwetsbaar voor man-in-the-middle-aanvallen door een gebrek aan encryptie op het lokale netwerk en via het internet. Tegenwoordig worden de meeste verbindingen tussen twee eindpunten echter al versleuteld met TLS en worden zij dus zelfs op lokale netwerken veilig doorgegeven, hetgeen niet de norm was toen WPA2 14 jaar geleden werd ingevoerd.
Over het onderwerp OWE bestaat momenteel echter nog onenigheid. Tegenstanders van de innovatie stellen dat de implementatie van gelijktijdige werking van versleutelde en "open" W-LAN-netwerken via hetzelfde toegangspunt te moeilijk is. Daarom zal de invoering van OWE voor onbepaalde tijd worden uitgesteld.
Wanneer komt WPA3?
Volgens de Wi-Fi Alliance zouden de eerste apparaten met WPA3 al begin 2019 op de markt moeten komen. Hoewel fabrikanten van Wi-Fi-geschikte apparaten zullen moeten voldoen aan de richtlijnen van de nieuwe WPA3-standaard om door de Wi-Fi Alliance te worden geverifieerd, zullen de meeste gebruikers hun werkende, op WPA2 gebaseerde hardware voorlopig niet vervangen. Het kan dus nog een paar jaar duren voordat WPA3 een wijdverbreide standaard is.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.