Чтобы быть эффективной, безопасность wi-fi должна идти в ногу с быстро развивающимися киберугрозами, и именно здесь вступает в действие стандарт wpa3, чтобы сделать как частные, так и общедоступные сети более устойчивыми. WPA3 — это передовая технология безопасности Wi-Fi.
Что такое WPA3
Каждое поколение компьютерных технологий порождает как новые перспективы, так и новые проблемы. Когда первые университеты разрешили пользователям подключаться к мощным мэйнфреймам, непослушные студенты нашли способы доступа к информации других студентов, чтобы разыгрывать друг друга, что потребовало создания защиты паролем и прав доступа.
Сегодня компьютеры и беспроводные сети занимают все аспекты жизни, начиная от школ, больниц, предприятий, библиотек — даже кафе и автобусы предлагают доступ к Wi-Fi. Но при всем этом доступе возникает необходимость в обеспечении безопасности сети Wi-Fi. Человек, подключающийся через свой ноутбук, может передавать пароли к своему банковскому счету по беспроводной сети, а их может перехватить хакер.
Самая большая проблема с предоставлением доступа к локальной сети WiFi заключается не только в шифровании WiFi, но и в том, как зарегистрировать устройства в сети WiFi. Если существует общий пароль, то любой, кто поделится им с другим человеком или запишет его, есть риск получения доступа к сети неавторизованным пользователям.
Тех, кто постарше, могут вспомнить сцену из фильма «Военные игры», где персонаж Мэтью Бродерика намеренно подвергался задержанию, чтобы найти пароль от сети, записанный на столе секретарши. Хакеры используют ту же технику, когда кто-то записывает пароль Wi-Fi на листе и оставляет у себя на столе, и хакер может получить доступ к сети и начать захват пакетов.
Безопасность WPA3 предназначена для предотвращения этого. Вместо того, чтобы полагаться на общие пароли, WPA3 регистрирует новые устройства с помощью процессов, не требующих использования общего пароля.
Эта новая система, получившая название Wi-Fi Device Provisioning Protocol (DPP), работает путем передачи информации о том, как получить доступ к системе без передачи пароля в эфир. В DPP пользователи используют QR-коды или метки NFC для подключения устройств к сети. Делая снимок или получая радиосигнал от маршрутизатора, устройство может быть аутентифицировано в сети без ущерба для безопасности.
Шифрование WPA3 разработано так, чтобы быть лучше, чем предыдущие версии технологии WiFi. Во-первых, подобно переходу браузеров Google Chrome и Firefox на предупреждение или прямое блокирование пользователей от подключения к небезопасным веб-серверам, система безопасности WPA3 отказывается от старых механизмов шифрования в пользу тех, которые еще не были взломаны.
Конечно, ничто не вечно в мире безопасности, но шифрование WPA3 защищено 256-битным протоколом Galois/Counter Mode (GCMP-256), что затрудняет взлом шифрования.
Насколько велико такое число, как 256-бит? Предыдущие алгоритмы шифрования работали со 128-битным шифрованием. В математических терминах это 3,048 x 10^38 — это 3, за которым следуют 38 нулей после него — вот сколько вычислений должен был бы произвести компьютер, чтобы подобрать ключ шифрования. Тогда как 256-битное шифрование это 1,15 x 10^77 — это 1 с 77 нулями, следующими за ним. В известной Вселенной меньше атомов по сравнению с этим числом!
Это большое число.
При передаче ключей шифрования между маршрутизатором и устройствами WPA3 WiFi Security использует 384-битный режим аутентификации хэшированных сообщений, поэтому и устройство, и маршрутизатор подтверждают, что они могут подключиться, но таким образом, что даже если кто-то перехватит связь между ними, они не смогут выяснить, какой у них исходный ключ шифрования.
Это похоже на шифровальщиков племени навахо во время Второй мировой войны, которые использовали коды, говоря на языке, которого больше никто в мире не понимал. Даже если бы третья сторона могла улавливать радиосигналы, это не имело бы для них никакого смысла. Даже если бы они также говорили на языке навахо, им пришлось бы знать дополнительную структуру кода, лежащую в основе, чтобы понять, что на самом деле означает сообщение.
Именно так WPA3 обеспечивает безопасность связи — благодаря улучшенному шифрованию, лучшими способами настройки этого шифрования и методами, которые не позволяют людям, подключающимся к сети, узнать пароли, которые у них есть в сети.
Основные формы WPA3
Для удовлетворения потребностей различных категорий пользователей Wi-Fi, WPA3 поставляется в нескольких основных формах. Понимание различий между ними может помочь вам в полной мере воспользоваться его функциями безопасности.
WPA3 Personal
Ожидается, что домашние пользователи будут использовать форму WPA3 Personal, которая использует аутентификацию на основе парольной фразы. Эта форма предлагает привычный пользовательский интерфейс, но значительно более высокий уровень защиты от взлома методом грубой силы благодаря одновременной аутентификации равных (SAE).
WPA3 SAE заменяет метод аутентификации с предварительным общим ключом (PSK), используемый в предыдущих версиях WPA, для генерации ключа, который полностью уникален для каждой аутентификации.
В результате злоумышленники теряют способность выполнять атаки на захваченные пакеты данных для преодоления защиты целевой сети. Более того, участники одной сети не могут отслеживать трафик других участников.
WPA3 Enterprise
Форма WPA3 Enterprise расширяет прочную основу, предоставляемую WPA2 Enterprise, делая обязательным использование Protected Management Frames (PMF) для всех подключений. Эта функция безопасности защищает от таких опасных атак, как ловушки и прослушивание.
Для лучшей защиты наиболее конфиденциальных данных WPA3 Enterprise может дополнительно работать в специальном 192-битном режиме. Этот режим не является обязательным для достижения удовлетворительного уровня безопасности, но всем предприятиям рекомендуется использовать его, чтобы обеспечить наилучшую доступную защиту.
WiFi Enhanced Open
Незашифрованные общедоступные сети Wi-Fi представляют огромную угрозу, и многие пользователи Wi-Fi даже не подозревают, насколько опасными они могут быть. WiFi Enhanced Open решает эту проблему, обеспечивая шифрование данных без проверки подлинности на основе Opportunistic Wireless Encryption (OWE).
Шифрование данных без проверки подлинности сохраняет удобство общедоступных сетей Wi-Fi, поскольку не используются парольные фразы, поэтому нет никаких причин не включать его.
Чем отличается WPA3 от WPA2?
Как упоминалось выше, WPA3 по-разному обрабатывает безопасность Wi-Fi. Большинство людей подключаются через сеть WPA2 либо путем обмена паролями, либо через WPS. WPS удобен. Нажмите кнопку на маршрутизаторе одновременно с устройством, чтобы подключиться к устройству к маршрутизатору, и все готово.
Проблема в том, что WPS отправляет 23-битный PIN-код как часть процесса регистрации. 23 бита — это ничто по сравнению с 384-битными хэшами, которые WPA3 использует для подключения устройств к маршрутизаторам. Умный хакер сможет за 9 миллионов попыток (это всего 1 минута в компьютерных терминах) получить доступ к маршрутизатору. Просто, подождите, пока не пропадёт сигнал WPS, и хакер не может войти.
Но есть есть уровень шифрования для открытых сетей. Если вы зайдете в кафе или подключите телефон в торговом центре, это устройство подключается к открытой сети. Это имеет смысл. Неудобство при подключении к сети Wi-Fi даже с общим паролем обычно слишком велико для клиентов магазина.
Проблема в том, что в открытой сети Wi-Fi умный хакер может прослушивать устройства и пытаться расшифровать сообщения между веб-сайтами банка или кассовыми аппаратами. Затем мы возвращаемся к несанкционированному прослушиванию банковских паролей и номеров кредитных карт.
Безопасность WPA3 также превосходит системы WPA2, когда речь идет об открытых сетях с усиленной системой защиты. Маршрутизаторы WPA3 используют Wi-Fi CERTIFIED Enhanced Open, что означает, что даже когда устройства подключаются к маршрутизатору WiFi в открытой сети, между устройством и маршрутизатором существует надежное шифрование.
Таким образом, даже если хакер прослушивает, сначала он должен взломать шифрование WiFi , а затем взломать совершенно другой набор между веб-браузером и банком или конкретным банкоматом и финансовыми системами, с которыми они обмениваются информацией. Ничто не является абсолютно безопасным, но это делает людей в большей безопасности, заставляя неавторизованных пользователей работать в два раза больше, чтобы получить информацию, которой они не должны обладать.
WPA3 Personal против WPA3 Enterprise
При выборе между WPA3 Personal и WPA3 Enterprise наиболее важным фактором является целевая среда.
В то время как обычные домашние пользователи теоретически могут воспользоваться превосходной защитой, обеспечиваемой WPA3 Enterprise и его 192-разрядным режимом, повышенная сложность настройки перевешивает преимущества.
| WPA2 | WPA3 | |
|---|---|---|
| Наименование | WiFi Protected Access 2 | WiFi Protected Access 3 |
| Дата выпуска | 2004 | 2018 |
| Метод шифрования | AES-CCMP | AES-CCMP / AES-GCMP |
| Размер ключа сеанса | 128 бит | 128 бит / 256 бит |
| Метод аутентификации сеанса | Pre-Shared Key (PSK) | Simultaneous Authentication of Equals (SAE) |
| Атаки грубой силой | Уязвимый | Не уязвим |
Поддержка устройств WPA3
Даже на момент написания этой статьи (2022 год) не все маршрутизаторы Wi-Fi, доступные на рынке, поддерживают WPA3. К счастью, легко сказать, какие из них поддерживают стандарт, поскольку все системы Wi-Fi 802.11ax должны поставляться с поддержкой WPA3 Personal и WPA3 Enterprise.
Другими словами, все маршрутизаторы WiFi 6 также являются маршрутизаторами WPA3, и то же самое касается других устройств WPA3 — если они сертифицированы для WiFi 6, то защита WPA3 будет включена.
