Was ist WPA3? Und worauf sollten Sie achten

Der Sicherheitsstandard des WPA3 nimmt sich der Mängel des WPA2 an, um Privat-, Firmen und IoT drahtlose Netzwerke zu verbessern. [...]

Die Wi-Fi Allianz hat die erste große Sicherheitsverbesserung bei Wi-Fi seit 14 Jahren vorgestellt: WPA3. Die nennenswertesten Ergänzungen des neuen Sicherheitsprotokolls sind der bessere Schutz einfacher Passwörter, individualisierte Verschlüsselung für persönliche und offene Netzwerke und noch bessere Sicherheitsverschlüsselung für Firmennetzwerke.

Der erste Wi-Fi Protected Access (WPA) wurde 2003 veröffentlicht um WEP zu ersetzen. Die zweite Version des WPA folgte nur ein Jahr später. Die dritte Version des WPA ist eine lang erwartetes und mit Freude aufgenommenes Update, das der Wi-Fi Industrie, Unternehmen und den Millionen an Wi-Fi Nutzern weltweit nützen wird, auch wenn sie es vielleicht nicht wissen.

WPA3 wurde im Jänner angekündigt und durch die Veröffentlichung des Wi-Fi Allianzen Zertifikatsprogramm für WPA3-Personal und WPA3-Enterprise im Juni offiziell gemacht. Neben diesen zwei Entwicklungsstufen gab die Wi-Fi Allianz zudem Wi-Fi Easy Connect bekannt. Dieses Feature soll den Prozess bildschirmlose Geräte, wie IoT Geräte, mit Wi-Fi zu verbinden, vereinfachen. Und auch Wi-Fi Enhanced Open wurde vorgestellt. Ein optionales Feature das eine nahtlose Verschlüsselung in offenen Wi-Fi Hotspot Netzwerken ermöglicht.

WPA2 Mängel

Das WPA2 Protokoll mit seinem Advanced Encryption Standard (AES) konnte sicher einige Schwachstellen des ersten WPA, welches das Verschlüsselungsprotokoll Temporal Key Integrity Protocol (TKIP) nutzte, verbessern. Zudem wurde WPA2 um einiges sicherer eingestuft, als die Sicherheit des veralteten WEP. Allerdings hatte WPA2 immer noch einige sehr eindeutige Schwachstellen, die über die letztes Jahrzehnte zum Vorschein kamen.

Die Möglichkeit WPA2-Personal Passphrasen mit multiplen Attacken zu knacken, was so viel bedeutet wie so lange zu raten bis das richtige Passwort gefunden wurde, war einer der kritischen Angriffspunkte von WPA2. Was das Problem noch schlimmer machte: Wenn Hacker die richtigen Daten hatten, konnten sie die Passwort-Rat-Versuche auch off-site durchführen, was es nur noch praktischer für sie machte. Einmal geknackt, konnten sie alle Daten entschlüsseln, egal ob sie diese vor oder nach dem Knacken fanden.

Zeitgleich gab es eine Verbindung zwischen der Komplexität eines Passworts und dem Knacken der Sicherheit. Wenn ein Netzwerk also ein einfaches Passwort nutzte (was von der Mehrheit wahrscheinlich so getan wurde), war es einfach das Passwort zu knacken und die Sicherheit zu gefährden.

Ein weiterer Angriffspunkt des WPA2-Personal, besonders in Firmennetzwerken, war, dass Nutzer mit der richtigen Passphrase im Netzwerkverkehr anderer Nutzer herumschnüffeln und die attackieren konnten. Auch wenn die Unternehmerversion von WPA und WPA2 Sicherheit gegen das Ausspionieren von Usern untereinander bietet, benötigt es einen RADIUS Server oder Cloud Dienst um diese Unternehmerversion einzuschalten.

Das wohl schlimmste Defizit von Wi-Fi ist seit Anfang an das Fehlen einer eingebauten Sicherheit, Verschlüsselung oder Privatsphäre in offenen öffentlichen Netzwerken. Jeder mit den richtigen Werkzeugen konnte so User, die öffentliche Wi-Fi Hotspots in Cafes, Hotels oder anderen öffentlichen Bereichen nutzten. ausspionieren. Das Herumschnüffeln konnte passiv passieren, zum Beispiel wenn Webseitenbesuche aufgezeichnet wurden oder ungesicherte Email Login Daten festgehalten wurden, oder aktiv, wo Sitzungen übernommen wurden um Zugriff auf gewisse Login Daten eines Nutzers zu bekommen.

WPA3-Personal bietet sichere und individualisierte Verschlüsselung

WPA3 bietet dank Simultaneous Authentication of Equals (SAE) Verbesserungen zu allgemeinen Wi-Fi Verschlüsselungen. Das System ersetzt die Pre-Shared Key (PSK) Authentifizierungsmethode, die in früheren WPA Versionen genutzt wurde. SAE ermöglicht eine bessere Funktionalität, damit WPA3-Personal Netzwerke mit einfachen Passwörtern nicht so einfach von Hackern durch nutzen von off-site, roher Gewalt, Wörterbuchbasierendem Lösungsversuchen wie bei WPA und WPA2 geknackt werden können. Natürlich wird es immer noch einfach für jemanden sein ein einfaches Passwort zu knacken, wenn versucht wird sich mit einem Gerät direkt in eine Wi-Fi Verbindung zu hängen. Allerdings ist diese Methode unpraktischer.

Die Verschlüsselung bei WPA3-Personal ist individueller. Nutzer eines WPA3-Personal Netzwerkes können nicht im Internetverkehr eines anderen WPA3-Personal Nutzers herum schnüffeln. Auch wenn der Nutzer das Wi-Fi Passwort hat und erfolgreich verbunden ist. Zusätzlich ist es, sollte das Passwort von einem Außenstehenden festgelegt werden, nicht möglich einen Austausch passiv mitzubekommen und die Session Keys mitzubestimmen. Das bedeutet mehr Sicherheit und einen geheimen Netzwerkverkehr. Und sie können auch keine Daten entschlüsseln, die sie vor der Entschlüsselung gefangen haben.

Wi-Fi Easy Connect ist ein optionales Feature welches erst vor kurzem angekündigt wurde. Es könnte Wi-Fi Protected Setup (WPS) welches mit WPA und WPA2 gekommen ist entweder ersetzen oder hinzugefügt werden. Wi-Fi Easy Connect wird dazu geschaffen um das Verbinden von Bildschirmlosen und IoT Geräten mit Wi-Fi zu vereinfachen. Das könnte eine Knopf-Methode bedeuten, wie bei WPS, könnte aber auch andere Methoden inkludieren, wie das Scannen eines QR Codes von einem Smartphone um sich sicher mit dem Gerät zu verbinden.

WPA3-Enterprise zielt auf große Wi-Fi Netzwerke

WPA3-Enterprise bietet mit seiner optionalen 192-bit Sicherheit zusätzlich noch besseren Schutz. Das könnte vor allem von Staatsdiensten, großen Unternehmen und anderen hochsensiblen Organisationen begrüßt werden. Abhängig von der spezifischen RADIUS Server Anwendung könnte der 192-bit Sicherheitsmodus in WPA3-Enterprise Updates in Bezug auf die EAP Server Komponente des RADIUS Server benötigen.

Wi-Fi Enhanced Open liefert Verschlüsselung für öffentliche Netzwerke

Eine der wichtigsten Verbesserungen, die die Wi-Fi Allianz mit WPA3 liefert ist Wi-Fi Enhanced Open. Es ermöglicht, das ein offenes Wi-Fi Netzwerk (die ohne Passwortsicherung) zwischen dem Zugangspunkt und dem individuellen Nutzer einzigartig geschützt wird. Es basiert auf Opportunistic Wireless Encryption (OWE), welches Protected Management Frames nutzt, um den Management Verkehr zwischen dem Zugangspunkt und Usergerät so gut wie möglich zu sichern.

Wi-Fi Enhanced Open hindert Nutzer daran die Webnutzung anderer User zu durchschnüffeln und Angriffe zu tätigen. All das passiert im Hintergrund, ohne, dass Nutzer ein Passwort eingeben müssen oder irgendetwas anderes machen müssen. Verbinden Sie sich einfach wie bisher mit offenen Netzwerken.

Auch wenn Enhanced Open offiziell kein Teil der WPA3 Spezifikationen ist, wird es sehr wahrscheinlich gleichzeitig mit WPA3 zu Produkten hinzugefügt. Es ist ein optionales Feature für Anbieter. Zusätzlich ist die Unterstützung von unverschlüsselten alten offenen Verbindungen ebenfalls optional. Es kann also passieren, dass manche AP und Router Anbieter die Nutzung von Wi-Fi Enhanced Open fordern sollte WPA3 nicht genutzt werden.

WPA3 Übernahme kann Jahre dauern

Die Übernahme des WPA3 Systems wird nicht über Nacht passieren. Die ersten Geräte, die WPA3 unterstützen, könnten aber schon Ende 2018 auf den Markt kommen. Allerdings ist die Unterstützung von WPA3 weiterhin ein optionales Feature und voraussichtlich für die nächsten Jahre noch nicht verpflichtend. Manche Anbieter könnten Software Updates veröffentlichen, die WPA3 Kompatibel sind, allerdings gibt es dafür keine Garantie. Ebenfalls erwähnenswert: Manche WPA3 Funktionen benötigen sehr wahrscheinlich ein Hardware Update einiger Produkte.

Zudem werden auch Kunden und Unternehmen einige Jahre brauchen um Upzugraden.

Auch wenn ein Nutzer einen Laptop oder ein Smartphone welches WPA3 kompatibel ist kauft, funktionieren die Sicherheitsverbesserungen nur, wenn auch das benutzte Netzwerk WPA3 unterstützt. Auch wenn WPA3 Geräte sich problemlos mit WPA2 Netzwerken verbinden können.

Zuhause hat der Nutzer die Kontrolle über das Netzwerk und könnte sich dafür entscheiden Router und Geräte auf Geräte mit WPA3 auszutauschen. Die auftretenden Kosten halten sich hier in Maßen, während sie in großen Netzwerken, also in Unternehmen und Firmen, der Grund sein könnten, warum es einige Zeit dauern wird, bis alle auf WPA3 umgestellt sind. Das könnte auch kleine Wi-Fi Hotspots betreffen. Sicherheitsbewusste Nutzer, die sich in öffentliche Netzwerke nur via VPN Verbindung einloggen werden dieses System voraussichtlich noch ein paar Jahre so weiter führen müssen.

WPA3-Personal bietet einen Übergangsmodus an. Dieser ermöglicht eine langsame Umstellung auf ein WPA3-Netzwork während WPA2-Personal Geräte sich weiterhin verbinden können. Die Vorteile des WPA3-Personal zeigen sich allerding nur, wenn das Netzwerk komplett umgestellt wurde. Welche Vorteile während der Umstellung verloren gehen und welche Auswirkungen dies auf die Sicherheit hat ist momentan noch nicht bekannt. Allerdings könnte dies ein Grund sein, warum einige warten bis mehr Endgeräte mit WPA3 auf dem Markt sind.

*Eric Geier schreibt für Network World.