Потребовалось «всего» 14 лет, чтобы протокол WPA (Wi-Fi Protected Access), предназначенный для защиты сетей Wi-Fi, получил обновление.
Когда клиент подключается к беспроводному устройству (WiFi-маршрутизатору, точке доступа и т.д.), пароль, который требуется для подключения, обычно передаётся с использованием алгоритма WPA2. В 2018 году Wi-Fi Alliance представил WPA3, что открывает возможности по его реализации для производителей беспроводного оборудования связи. WPA и WPA2 появились (первый в 1999 году, а другой – в 2004 году), чтобы преодолеть серьёзные недостатки, которым был подвержен старый алгоритм WEP.
До недавнего времени для адекватной защиты сети Wi-Fi обычно было достаточно использовать WPA2 и достаточно длинного и сложного ключевого слова. И хотя WPA2 предлагает множество улучшений в плане безопасности по сравнению с WPA, он всё ещё страдает от использования слабых паролей. Алгоритм фактически уязвим для атак методом перебора, которые могут быть успешными, когда пользователь использует простые пароли.
Кроме того, всегда рекомендуется не использовать распространенный SSID (идентификатор сети WiFi), поскольку злоумышленники могут использовать предварительно созданные радужные таблицы для ускорения атаки. Атаки, использующие PIN-код WPS на маршрутизаторе Wi-Fi для получения несанкционированного доступа к сети Wi-Fi, очень распространены.
Недавно исследователь Мэти Ванхоф показала, что даже можно прочитать содержимое пакетов данных, которые проходят между защищенными WPA/WPA2 WiFi-маршрутизаторами/точками доступа и клиентскими устройствами, даже не взломав пароль, используемый для защиты беспроводной сети других пользователей. После объявления об обнаружении уязвимости производители WiFi-устройств сразу же побежали выпускать исправления.
Проблема, однако, касается самого стандарта, и обновления для системы безопасности выпущены не для всех устройств, находящихся в обращении. Поэтому переход на новую и более безопасную версию WPA стал необходимостью, и WPA3 стремится окончательно отложить в сторону недостатки предыдущей версии протокола.
WPA3 – что это такое и как работает
Wi-Fi Alliance – некоммерческая ассоциация, образованная некоторыми из основных «крупных» компаний в отрасли (среди наиболее важных имен – Apple, Samsung, Sony, LG, Intel, Dell, Broadcom, Cisco, Qualcomm, Motorola, Microsoft и Texas Instruments), – выпускает сертификаты WPA2 и, теперь, WPA3.
Другими словами, все устройства Wi-Fi, для которых производитель хочет отобразить логотип «Wi-Fi CERTIFIED WPA2» или «Wi-Fi CERTIFIED WPA3», должны строго соответствовать спецификациям, опубликованным альянсом.
Повышенная безопасность при использовании общественных сетей Wi-Fi
В настоящее время при использовании общественных сетей Wi-Fi (например, в аэропортах, отелях, барах и ресторанах, жилых помещениях, общественных местах) их безопасность остаётся «под знаком вопроса».
Сетевой трафик, генерируемый вашим устройством (за исключением зашифрованного трафика, например, передаваемого по HTTPS), после подключения к общедоступной сети Wi-Fi, фактически может быть прочитан третьими лицами, подключенными к тому же маршрутизатору или точке доступа. По этой причине мы всегда рекомендовали использовать VPN в таких ситуациях.
Использование VPN даёт наилучшие гарантии при использовании общедоступного Wi-Fi, управляемого третьими лицами.
Если у вас есть VPN-сервер дома или в офисе (наиболее полные и универсальные маршрутизаторы поддерживают OpenVPN), вы можете установить удаленное зашифрованное соединение или использовать службу VPN.
WPA3 позволяет преодолеть эти проблемы, активируя индивидуальное шифрование данных: каждый раз, когда вы подключаетесь к общедоступному Wi-Fi, весь трафик, передаваемый между отдельным устройством и точкой доступа, будет зашифрован, даже если пароль не запрашивался.
Лучшая защита от атак методом «грубой силы»
Каждый раз, когда устройство подключается к точке доступа Wi-Fi, запускается процедура, называемая рукопожатием, которая позволяет проверить правильность введенного пароля и продолжить согласование соединения.
Процедура рукопожатия оказалась уязвимой для атак методом перебора, хотя исправления, выпущенные различными производителями оборудования, позволяют минимизировать риски.
WPA3 устанавливает новый способ выполнения рукопожатия, надежный и исключающий использование метода «грубой силы». Решение WPA3 настолько надежно, что делает сеть Wi-Fi защищенной, даже если пользователь установит простой пароль.
Мати Ванхоф, автор открытия, связанного с уязвимостями WPA2, с энтузиазмом отнеслась к нововведениям, представленным в WPA3: с помощью этого протокола можно будет поддерживать эффективную защиту и минимизировать риски мониторинга сетевого подключения со стороны третьих лиц.
Более простое и быстрое соединение устройств без дисплея
За последние несколько лет мир сильно изменился, и теперь всё чаще встречаются устройства с интерфейсом Wi-Fi, которые не имеют дисплея. Это, в первую очередь, устройства, принадлежащие миру Интернета вещей (IoT).
Для подключения этих устройств к сети Wi-Fi обычно необходимо установить приложение или подключиться к локальному веб-серверу, установленному на этих устройствах, с помощью другого терминала, подключенного к той же локальной сети.
WPA3 включает функцию, которая призвана упростить процесс настройки каждого устройства Wi-Fi без дисплея.
Высокий уровень безопасности для промышленных приложений
Наконец, WPA3 включает в себя 192-битный пакет безопасности, который сделает использование нового протокола подходящим для всех приложений, где важна конфиденциальность данных.
Настолько, что спецификации, которые будут утверждены, позволят вам активировать защиту военного уровня, которая также может использоваться государственными органами и компаниями для промышленного применения.
Следует отметить, что для каждого WiFi-маршрутизатора с WPA3 должны использоваться беспроводные клиенты, совместимые с WPA3. В противном случае новые функции протокола WPA3 не могут быть использованы.
Хорошей новостью является то, что тот же WPA3-совместимый маршрутизатор также сможет принимать соединения WPA2. Кроме того, даже когда WPA3 будет достаточно широко распространен, следует ожидать довольно продолжительного переходного периода, в течение которого некоторые устройства будут подключаться к маршрутизатору через WPA3, а другие – через WPA2.