我們一直都在使用 WiFi。有更多 WiFi 設備存在比有的人多。這是我們大多數人連接互聯網的方式,許多互聯網活動都涉及傳輸高度敏感的個人數據。
因此,遺憾的是,WPA2(用於保護數據在您的設備和將其連接到互聯網的路由器之間通過無線電波傳輸的數據的標準)完全不適用。破碎的。
去年 10 月發布的一份白皮書表明,每個 WPA2 連接都是不安全的。感謝裂縫由於存在漏洞,全球 90 億台 WiFi 設備中幾乎每台設備上通過 WiFi 發送的所有未加密數據都可以很容易地被黑客窺探。
也許當時最令人擔憂的是沒有什麼可以替代它......
看看我們的什麼是 WPA2指南以獲取有關它的更多信息。
因此,毫不奇怪,無線網絡聯盟最近有宣布WPA2 的繼任者的推出,巧妙地傾斜了 WPA3。它不僅修復了 KRACK 漏洞,還解決了許多其他 WiFi 安全問題,這些問題自 2004 年推出 WPA2 以來變得越來越明顯。
WPA3 有兩個版本:WPA-個人版和 WPA-企業版。
WPA3-個人
克拉克固定
WPA2 標準已經存在相當長一段時間了,但正是密鑰重新安裝攻擊 (KRACK) 漏洞的發現促使 WiFi 聯盟推出了一項徹底改革 WiFi 安全性的新標準。
KRACK 利用了一個缺陷四次握手用於保護與路由器的 WPA2 連接,無論使用什麼平台或設備。
WPA3 通過使用同步身份驗證 (SAE) 握手來解決此問題。 Dragonfy 密鑰交換協議的一個變體,它取代了預共享密鑰WPA2中的PSK(PSK)和已發布的安全證明表明它是高度安全的。
更好的密碼安全性
在徹底改革 WiFi 安全的過程中,WiFi 聯盟還致力於保護我們免受自身侵害。 WiFi 最大的安全問題是大多數人使用的非常頻繁虛弱的以及容易猜到的密碼。
即使您更改了密碼,WPA2 也允許攻擊者進行無限猜測。這使他們能夠執行字典攻擊它每分鐘向您的路由器拋出數千個常用密碼,直到找到正確的密碼。
WPA3 通過兩種方式緩解密碼攻擊。等於握手的同時身份驗證可阻止攻擊者在每次攻擊時多次猜測密碼,從而防止字典攻擊。每次輸入錯誤的密碼時,他們都需要重新連接到網絡才能進行另一次猜測。
自然密碼選擇是另一項新功能。據稱,這將幫助用戶選擇強大但易於記住的密碼。
前向保密
前向保密意味著每次建立 WPA3 連接時,都會生成一組新的加密密鑰。如果攻擊者破解了您的路由器密碼,他們將無法訪問已傳輸的數據,因為數據受到不同密鑰集的保護。
WPA3-企業版
顧名思義,WP3-Enterprise 旨在為企業、政府和金融機構提供更高的安全性。
使用 384 位 ECDH 或 ECDSA 通過 256 位伽羅瓦/計數器模式協議 (GCMP-256) 密碼保護數據密鑰交換使用 HMAC SHA385哈希認證。受保護管理幀 (PMF) 使用 256 位廣播/組播完整性協議伽羅瓦消息驗證代碼 (BIP-GMAC-256) 進行保護。
有趣的是,WiFi 聯盟將這套加密算法描述為“相當於 192 位加密強度”。
批評
Mathy Vanhoef 是魯汶大學的博士研究員,他發現了 WPA2 中的 KRACK 漏洞。在最近的一篇博客文章中,他將 WPA3 描述為錯過機會。
WPA3 本身並不是一個標準。這是一個認證計劃。如果產品支持並正確實施 WPA3 指定的標準,那麼 WiFi 聯盟將授予其 Wi-Fi CERTIFIED WPA3™ 認證。
當 WPA3 首次公佈時,有人提議它將包括 4 個關鍵標準:
- 蜻蜓式握手 (SAE)
- Wi-Fi 輕鬆連接,該功能修復了當前 Wi-Fi 保護設置中的已知漏洞
- Wi-Fi增強開放,旨在通過在連接到開放熱點時提供未經身份驗證的加密來使公共 WiFi 熱點的使用更加安全
- 它將增加會話加密密鑰的大小。
然而,在其最終形式中,標準 2-4 是受到推崇的用於 WPA3 設備,但不是必需的。要獲得官方 Wi-Fi CERTIFIED WPA3™ 認證,製造商只需實施同步握手驗證。
Wi-Fi Easy Connect 和 Wi-Fi Enhanced Open 標準均獲得 WiFi 聯盟的單獨認證,而僅 WPA3 企業認證才需要增加會話密鑰大小。
”我擔心,在實踐中,這意味著製造商只會實施新的握手,在其上貼上“WPA3 認證”標籤,然後就完成了 [...] 這意味著,如果您購買支持 WPA3 的設備,則無法保證它支持這兩個功能。”
公平地說,WiFi聯盟做出這一決定可能是為了鼓勵WiFi製造商盡快採用該標準,降低實施難度。
製造商也很有可能自願選擇在其 WPA3 產品中包含 Wi-Fi Easy Connect 和 Wi-Fi Enhanced Open 標準。
那麼接下來怎麼辦?
WiFi 聯盟預計至少要到今年年底才能購買任何 WPA3 產品,並且最早要到 2025 年年底才能看到廣泛實施。
理論上,大多數WiFi產品都可以通過軟件補丁升級到WPA3。然而,許多製造商似乎不太可能投入資源為現有產品開發此類補丁,而可以將其用於為市場開發新產品。
並非所有公司都是如此。例如,路由器製造商 Linksys 已確認其為“傳統產品”發布 WPA3 固件更新的承諾。
然而,在大多數情況下,升級到 WPA3 需要扔掉您的路由器和所有 WiFi 設備,並用新的 WPA3 設備替換它們。鑑於目前全球約有 90 億台支持 WiFi 的設備,這不會在一夜之間發生。
因此,WiFi 生態系統可能還需要數年時間才能發展到 WPA3 被認為無處不在的程度;當然,到那時,我們可能迫切需要一個新的 WPA4 標準!
WPA3 向後兼容
鑑於 WPA2 高度不安全,每個人真的應該盡快升級到WPA3。然而,實際上,大多數人並不會直接扔掉昂貴的現有裝備。
因此,WPA3 向後兼容是很有用的。 WPA3 路由器將接受來自舊版 (WPA2) 設備的連接,並且 WPA3 設備將能夠連接到舊版路由器。但除非路由器和設備都支持 WPA3,否則連接將無法受益於新標準提供的改進的安全性。
因此,在您完全符合 WPA3 之前,我們強烈建議您通過在所有 WPA2 設備(而不是路由器本身)上運行 VPN 連接來緩解 KRACK 漏洞。
就像使用公共 WiFi 熱點時使用 VPN 來保護您一樣,這可以確保您的設備和路由器之間傳輸的所有數據都經過安全加密,從而免受 KRACK 攻擊。
小心只訪問HTTPS網站也可以緩解這個問題,但需要您時刻保持警惕。桌面系統可以通過以太網電纜連接到路由器,這使得它們免受 KRACK 攻擊。
結論
WPA2 已被破壞,因此 WPA3 無法盡快推出 - 您應該盡快採用它。令人遺憾的是,完整的原始 WPA3 標準集並未進入最終淘汰,但如果這能加快 WPA3 的廣泛採用,那麼該決定可能會得到證實。
無論如何,製造商可能會決定在其 WPA3 產品中包含 Wi-Fi Easy Connect 和 Wi-Fi 增強開放標準。
同時,請務必注意您現有的 WiFi 連接有多不安全,並採取措施緩解該問題。
圖片來源:BeeBright/Shutterstock。