Al anderhalf decennium gebruiken we WPA2 en het is inmiddels zo'n grote standaard dat zelfs gebruikers die weinig met IT hebben de term wel eens op de smartphone hebben zien staan. Aanvankelijk gebruikten we Wired Equivalent Privacy (WEP) voor beveiliging, maar diens statische sleutels en andere fouten maakten het protocol veel te onveilig.

Het in 1999 geïntroduceerde Wired Protected Access (WPA) loste alvast enkele problemen op door de statische 64- of 128-bit sleutel te vervangen voor dynamische sleutels. Vijf jaar later volgde WPA2 met andere verbeteringen, zoals de ondersteuning van CCMP. Nu, bijna vijftien jaar later, is het de beurt aan WPA3. Wat zijn precies de verbeteringen en wanneer kun je het gebruiken?

Verbeterde handshake

De authenticatie in WPA gaat via een handshakeproces en Vlaamse onderzoekers toonden vorig jaar aan dat in aanvallers kunnen afdwingen dat een router de encryptiesleutel meerdere malen verzendt naar een client. Deze aanval werd bekend onder de naam KRACK. Kwaadwillenden vangen dat herhalingsverkeer op en kunnen uit de verschillende authenticatiepogingen met dezelfde basisgegevens datapakketjes van en naar het draadloze netwerk ontsleutelen.

Die kwetsbaarheid uit WPA2 is aangepakt in patches van het protocol, en is uiteraard verdwenen in de nieuwe versie die de WiFi Alliance eerder dit jaar aankondigde. WPA3 heeft een heel nieuw handshakeproces, deze keer gebaseerd op Simultaneous Authentication of Equals in plaats van een Pre-Shared Key. In plaats van WPA2-PSK zul je daarom in nieuwe netwerken de optie WPA3-SAE zien.

Brute force-beperkingen

Door deze verbeterde authenticatiemethode, die het raden van wachtwoorden onmogelijk maakt, zijn dictionary-aanvallen op WPA3-netwerken onpraktisch geworden. Aanvallers zouden deze nu namelijk 'live' op de router moeten uitvoeren. Ze zouden steeds opnieuw moeten verbinden en daarmee wordt een brute force-aanval gefrustreerd.

The standards behind WPA3 already existed for a while. But now devices are *required* to support them, otherwise t... twitter.com/i/web/status/9... — Mathy Vanhoef (@vanhoefm)8 January 2018

Hierna: Versleuteling op openbare netwerken en de vraag wanneer WP3 mainstream gaat.