Serg Nvns - Fotolia
Wie verbessert das WPA3-Protokoll die Passwortsicherheit?
WPA3 soll für mehr Sicherheit in Funknetzwerken sorgen und auch Geräte mit schwachen Passwörtern besser schützen. Produkte mit WPA3-Unterstützung sollen noch 2018 verfügbar sein.
Das neue Wi-Fi-Protokoll WPA3 soll die Passwortsicherheit erhöhen und insbesondere die Sicherheit von IoT-Geräten verbessern. Welche Neuerungen bringt das Protokoll mit sich und wie unterscheidet es sich von WPA2?
Die zunehmende Anzahl vernetzter Geräte – Stichwort IoT – verändert Infrastrukturen nachhaltig – sowohl im privaten Bereich als auch in Unternehmen. Experten schätzen, dass bis zum Jahr 2020 über 30 Milliarden Objekte mit dem Internet verbunden sein werden.
Das derzeit meist genutzte Protokoll zur Anbindung von IoT-Geräten an Funknetzwerke ist WPA2. Dieses definiert den Handshake zwischen Router und Client-Geräten, mit dem beide die zur Sicherung der Verbindung verwendete Verschlüsselung aushandeln. WPA2 wurde entwickelt, um das zuvor genutzte WEP (Wired Equivalent Privacy) abzulösen, das gravierende Schwachstellen aufwies. Obwohl WPA2 sich für die Sicherheit von Milliarden von Geräten verantwortlich zeichnet, ist es nun bereits auch schon wieder relativ betagt. Die ersten Geräte mit Unterstützung für denWPA2-Standard sind schon 2004 erschienen.
Um die nächste Generation Wi-Fi-fähiger Geräte besser abzusichern, hat die Wi-Fi-Alliance zu Beginn des Jahres 2018 den Standard WPA3 vorgestellt. WPA3 soll Verbesserungen bei Konfiguration, Authentifizierung und Verschlüsselung bieten. Besonders kritische Wi-Fi-Netzwerke sollen durch eine 192-Bit-Sicherheitssuite geschützt werden, die mit der Commercial National Security Algorithm Suite des Committee on National Security Systems abgestimmt wurde. Die neue individualisierte Datenverschlüsselung soll dafür sorgen, dass auch die allgemeine Sicherheit von öffentlichen Wi-Fi-Hotspots deutlich verbessert wird.
Insbesondere öffentliche Wi-Fi-Netzwerke wie an Flughäfen oder in Hotels erlauben es, Datenverkehr über sie zu senden, der nicht standardmäßig verschlüsselt ist. Anwender könnten so die Websites sehen, die andere Anwender aufrufen, selbst wenn die Websites ihrerseits selbst HTTPS nutzen. WPA3 will dies durch die Verschlüsselung des gesamten Datenverkehrs zwischen WLAN-Zugangspunkt und Endgerät unterbinden. Dabei soll ein eindeutiger Schlüssel zum Einsatz kommen, ohne dass hierfür eine Einrichtung durch den Benutzer notwendig sei. Diese opportunistische Verschlüsselung bietet zwar nicht das gleiche Maß an Sicherheit wie eine authentifizierte Verschlüsselung, ist aber allemal besser als keine Verschlüsselung und erhöht das allgemeine Sicherheitsniveau deutlich.
WPA3 mit verbessertem Handshake
Mit WPA3 soll auch ein deutlich robusterer Handshake zwischen den einzelnen Geräten im WLAN eingeführt werden. Dies soll Brute-Force- und Wörterbuch-Angriffe erschweren und so auch für Geräte ohne starke Passwörter einen besseren Schutz bieten. WPA2-Geräte, die nicht upgedated wurden, sind anfällig für die WPA2-KRACK-Schwachstelle. Dabei wurde der mehrstufige Handshake-Prozess von WPA2 angegriffen und kryptographische Handshake-Nachrichten manipuliert (siehe auch KRACK: WLAN-Sicherheitslücke beim WPA2-Standard). Die Schwachstelle kann es Angreifern erlauben, den WLAN-Datenverkehr mitzulesen.
Mathy Vanhoef, der die WPA2-Schwachstelle 2017 entdeckte, glaubt, dass das neue Handshake-Protokoll auf SAE (Simultaneous Authentication of Equals) beziehungsweise Dragonfly aufsetzt. Dabei handelt es sich um einen passwortauthentifizierten Schlüsselaustausch, der auf einem Zero-Knowledge-Beweis (kenntnisfreies Protokoll) basiert und standardmäßig eine elliptische Kurvenkryptographie verwendet. Das auch Geräte mit schwachen Passwörtern besser geschützt werden, liegt zudem daran, dass Angreifer pro Angriff nur noch einen Passwortversuch durchführen können.
Darüber hinaus soll es mit WPA3 einfacher werden, Endgeräte ohne Tastatur und Bildschirm zu konfigurieren. Produkte, die den WPA3-Standard unterstützen werden bei entsprechender Zertifizierung die Kennung „Wi-Fi CERTIFIED WPA3“ tragen. Qualcomm beispielsweise hat Mitte Mai 2018 angekündigt, WPA3 ab Sommer 2018 in Produkte integrieren zu wollen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!