在Wi-Fi联盟已经推出了第一个重大的安全改进的Wi-Fi的14年:WPA3。最显著增加的新的安全协议是企业网络的简单密码更大的保护,为个人和开放的网络个性化加密,甚至更安全的加密。
最初的Wi-Fi保护访问(WPA)标准在2003年发布,以取代WEP,第二年发布了WPA的第二版。第三版的WPA是一个期待已久且广受欢迎的更新,它将使Wi-Fi行业、企业和全球数百万普通Wi-Fi用户受益——尽管他们可能并不知道。
WPA3于今年1月发布,并于今年6月正式推出Wi-Fi联盟的WPA3- personal认证项目,该项目提供更个性化的加密,而WPA3- enterprise则增强了敏感数据传输网络的加密强度。除了这两种部署模式,Wi-Fi联盟还推出了Wi-Fi Easy Connect,这一功能旨在简化没有显示器的Wi-Fi设备的配对过程,比如物联网设备;Wi-Fi增强型开放,这是一个可选功能,允许对开放Wi-Fi热点网络进行无缝加密。
解决WPA2缺点
使用高级加密标准(AES)的WPA2协议当然修补了原始WPA的一些安全漏洞,原始WPA使用了加密协议时态密钥完整性协议(TKIP)。而且WPA2被认为比早已死亡的WEP安全更安全。然而,WPA2在过去十年中仍然出现了一些严重的漏洞。
破解与蛮力攻击的WPA2个人密码的能力 - 主要是猜测一遍又一遍,直到找到一个匹配的密码 - 是WPA2的一个严重漏洞。使问题更糟的是,一旦黑客捕获从电波正确的数据,他们可以执行这些密码猜测尝试异地,使得他们更加实用。一旦破裂,他们可以再解密任何数据之前,他们或破碎后捕获。
此外,网络的WPA2个人密码的复杂性有裂化安全的复杂关系。因此,如果网络是用一个简单的密码(因为它的假设大多数做),然后破解安全更容易。
WPA2个人版的另一大弱点,尤其是在商业网络,是与密码用户可以窥探其他用户的网络流量,并执行攻击。虽然WPA / WPA2的企业模式提供了对用户到用户窥探保护,它需要一个RADIUS服务器或云服务部署的企业模式。
可以说,自成立以来的Wi-Fi的最坏的不足是缺乏任何内置安全性,加密,或隐私上开放的公共网络。任何人只要有合适的工具可以窥探连接到咖啡馆,饭店等公共场所的Wi-Fi热点的用户。这可以窥探是被动的,就像刚监视访问的网站或捕获不安全的电子邮件登录凭据,或主动攻击,比如会话劫持能够访问用户的网站登录。
WPA3-个人提供更加安全和个性化加密
WPA3对一般的Wi-Fi加密进行了改进,这得益于同步对等认证(SAE)取代了以前WPA版本中使用的预共享密钥(PSK)认证方法。这允许更好的功能,所以wpa3 -个人网络使用简单的密码就不会像WPA/WPA2那样,让黑客使用离线的、暴力的、基于字典的破解尝试来破解。当然,当人们试图用设备直接连接Wi-Fi时,猜测一个非常简单的密码仍然很容易,但这是一种不太实用的破解方法。
与WPA3 - 个人加密是更加个性化。一个WPA3个人网络上的用户永远不能窥探别人的WPA3,个人业务,甚至当用户具有Wi-Fi密码,并成功连接。此外,如果一个局外人决定口令,就不可能被动地观察交流,并确定会话密钥,提供网络流量的转发保密。另外,也不能解密或者开裂之前捕获的任何数据。
无线网络连接轻松连接是一项可选功能近日宣布,将有可能与许多WPA3-个人设备,可代替或补充与WPA / WPA2附带的Wi-Fi保护设置(WPS)功能可用于似乎。无线网络连接轻松连接正在设计,使其更容易显示少和物联网设备连接到Wi-Fi。这可以包括类似于WPS按钮的方法,但也可添加额外的方法,如为了安全地连接该装置从智能手机扫描装置的QR码。
WPA3,企业目标的大规模的Wi-Fi
对于WPA3型企业,有增加了更好的保护可选的192位安全。这可能是政府机构,大型企业,以及其他高度敏感的环境中受欢迎的特性。根据具体的RADIUS服务器实现,然而,在WPA3-企业的192位安全模式可能需要相关RADIUS服务器的EAP服务器组件更新。
Wi-Fi增强开放提供加密的公共网络
其中一个Wi-Fi联盟已经做出了最大的改进是Wi-Fi增强开放。它允许开放式网络的Wi-Fi通信(没有任何密码或密码)到所述接入点和各个客户端,这是基于机会无线加密(OWE)之间被唯一加密。它使用受保护的管理框架,以确保接入点和用户设备,以及之间的管理流量。
增强的Wi-Fi开放功能可以防止用户窥探彼此的网络流量或执行其他攻击,比如会话劫持。它在后台完成所有这些操作,用户无需输入任何密码或做任何不同于在开放网络中简单连接的事情。
尽管增强型开放实际上并不是WPA3规范的正式组成部分,但它很可能与WPA3同时被添加到产品中。这是供应商在其产品中包含的一个可选特性。此外,支持未加密的遗留开放连接也是可选的。因此,如果WPA3没有被使用,一些AP和路由器供应商将来可能会强制使用Wi-Fi增强型Open(或者默认打开)。
WPA3通过可能需要几年时间
至于时机,广泛采用WPA3不会在一夜之间发生。一些Wi-Fi设备配套WPA3应该开始在2018年底出现,但WPA3支持仍是一项可选功能,可能不是强制性的Wi-Fi联盟认证长达两年。有些供应商可能会选择性释放与WPA3能力,现有产品的软件更新,但没有保证。另外,需要注意的是一些WPA3功能可能需要在产品的硬件升级是非常重要的。
此外,消费者和企业可能需要数年时间才能升级。
即使用户购买了WPA3功能的笔记本电脑或智能手机,记住,网络必须支持WPA3为了获得任何的安全改进,虽然WPA3设备仍然能够连接到WPA2网络。
在家里,用户可以控制网络,可以选择将路由器和设备升级到WPA3。然而,更大的网络所涉及的成本可能意味着企业和企业采用WPA3的时间非常长。即使是小型的公共Wi-Fi热点也会出现这种情况,因为无线互联网通常是一种没有收入的便利设施。因此,在公共网络上经常使用VPN连接的安全意识较强的用户可能需要保持VPN连接几年。
WPA3-Personal提供了一种过渡模式,允许逐步迁移到WPA3-Personal网络,同时仍然允许WPA2-Personal设备连接。然而,WPA3-Personal的全部好处只有在网络处于WPA3-only模式时才能实现。在过渡模式下所损失的利益和安全影响在这一点上是未知的;这可能是一些人推迟WPA3网络部署的原因之一,直到市场上出现更多的WPA3终端用户设备。
潜在Wi-Fi增强开放限制
考虑带有Wi-Fi增强开放的另一个问题是,它可能给一些用户安全的错觉。要明白,虽然用户得到个性化的加密来防止窃听他们的交通是非常重要的,它仍然不是完全安全的。不对用户进行认证,如他们是WPA3网络上,让用户比如果连接到自己的专用网络在家庭,工作或学校比如更容易。
当使用的Wi-Fi增强的开放式网络,请记住,在用户设备上的任何开放的网络共享仍可能开放供用户连接。鉴于访问没有密码保护的,它也肯定地说,无线网络连接,增强开放不会对有助于防止假蜜罐网络或者任何影响。
目前,大多数的Wi-Fi设备不清楚地表明,在网络上的Wi-Fi功能的安全类型。这可能是带有Wi-Fi增强开放的问题,因为即使对于具有支持的设备,这并不容易,以确定是否第三方的网络,如公共热点的用户,启用了保护。这将是最多的设备供应商和操作系统,他们如何可能会更好地展示网络的安全能力。举例来说,我们希望他们会很清楚明显,如果网络具备Wi-Fi已启用增强打开,然后有像一些警告开放网络已经这样做没有任何安全。