WPA2 против WPA3
Выпущенный в 2018 году, WPA3 представляет собой обновленную и более безопасную версию протокола защищенного доступа Wi-Fi для защиты беспроводных сетей. Как мы описали при сравнении WPA2 с WPA, WPA2 был рекомендованным способом защиты вашей беспроводной сети с 2004 года, поскольку он более безопасен, чем WEP и WPA. WPA3 обеспечивает дополнительные улучшения безопасности, которые затрудняют взлом сети путем подбора паролей; это также делает невозможным дешифрование данных, захваченных в прошлом, то есть до того, как ключ (пароль) был взломан.
Когда в начале 2018 года альянс Wi-Fi объявил технические подробности для WPA3, в их пресс-релизе рекламировались четыре основных функции: новое, более безопасное рукопожатие для установления соединений, простой способ безопасного добавления новых устройств в сеть, некоторая базовая защита при использовании открытые горячие точки и, наконец, увеличенные размеры ключей.
Окончательная спецификация требует только нового рукопожатия, но некоторые производители будут реализовывать и другие функции.
Сравнительная таблица
WPA2 | WPA3 | |
---|---|---|
Стенды для | Защищенный доступ Wi-Fi 2 | Защищенный доступ Wi-Fi 3 |
Что это? | Протокол безопасности, разработанный Wi-Fi Alliance в 2004 году для использования в защите беспроводных сетей; предназначен для замены протоколов WEP и WPA. | Выпущенный в 2018 году, WPA3 является следующим поколением WPA и имеет улучшенные функции безопасности. Он защищает от слабых паролей, которые можно относительно легко взломать путем угадывания. |
Методы | В отличие от WEP и WPA, WPA2 использует стандарт AES вместо потокового шифра RC4. CCMP заменяет TKIP WPA. | 128-битное шифрование в режиме WPA3-Personal (192-битное в WPA3-Enterprise) и прямая секретность. WPA3 также заменяет обмен Pre-Shared Key (PSK) на одновременную аутентификацию Equals, более безопасный способ выполнения начального обмена ключами. |
Безопасно и рекомендуется? | WPA2 рекомендуется вместо WEP и WPA, и он более безопасен, когда Wi-Fi Protected Setup (WPS) отключен. Не рекомендуется использовать поверх WPA3. | Да, WPA3 более безопасен, чем WPA2, что обсуждается в приведенном ниже эссе. |
Защищенные фреймы управления (PMF) | WPA2 требует поддержки PMF с начала 2018 года. Старые маршрутизаторы с непропатченной прошивкой могут не поддерживать PMF. | WPA3 требует использования защищенных фреймов управления (PMF) |
Новое рукопожатие: одновременная аутентификация равных (SAE)
Когда устройство пытается войти в защищенную паролем сеть Wi-Fi, шаги по вводу и проверке пароля выполняются посредством 4-стороннего рукопожатия. В WPA2 эта часть протокола была уязвима для атак KRACK:
Даже с обновлениями WPA2 для защиты от уязвимостей KRACK, WPA2-PSK все еще может быть взломан. Есть даже инструкции по взлому паролей WPA2-PSK.
WPA3 устраняет эту уязвимость и устраняет другие проблемы за счет использования другого механизма подтверждения для аутентификации в сети Wi-Fi — одновременной аутентификации равных, также известной как Dragonfly Key Exchange.
Технические подробности того, как WPA3 использует обмен ключами Dragonfly, который сам по себе является разновидностью SPEKE (простой обмен ключами с экспоненциальным паролем), описаны в этом видео.
Преимущества обмена ключами Dragonfly — прямая секретность и устойчивость к офлайн-дешифрованию.
Устойчивость к офлайн-расшифровке
Уязвимость протокола WPA2 заключается в том, что злоумышленнику не нужно оставаться подключенным к сети, чтобы угадать пароль. Злоумышленник может прослушивать и перехватывать четырехстороннее рукопожатие начального соединения на основе WPA2, находясь вблизи сети. Затем этот захваченный трафик можно использовать в автономном режиме в атаке по словарю для подбора пароля. Это означает, что если пароль слабый, его легко взломать. Фактически, буквенно-цифровые пароли длиной до 16 символов можно довольно быстро взломать для сетей WPA2.
WPA3 использует систему обмена ключами Dragonfly, поэтому он устойчив к атакам по словарю. Это определяется следующим образом:
Устойчивость к атакам по словарю означает, что любое преимущество, которое может получить злоумышленник, должно быть напрямую связано с количеством взаимодействий, которые он совершает с честным участником протокола, а не посредством вычислений. Злоумышленник не сможет получить какую-либо информацию о пароле, за исключением того, является ли единственное предположение из прогона протокола правильным или неправильным.
Эта функция WPA3 защищает сети, в которых сетевой пароль, то есть предварительный общий ключ (PSDK), слабее рекомендуемой сложности.
Прямая секретность
В беспроводной сети используется радиосигнал для передачи информации (пакетов данных) между клиентским устройством (например, телефоном или ноутбуком) и точкой беспроводного доступа (маршрутизатором). Эти радиосигналы транслируются открыто и могут быть перехвачены или «приняты» кем угодно поблизости. Когда беспроводная сеть защищена паролем — будь то WPA2 или WPA3 — сигналы зашифровываются, поэтому третья сторона, перехватывающая сигналы, не сможет понять данные.
Однако злоумышленник может записать все перехватываемые данные. И если они смогут угадать пароль в будущем (что возможно с помощью словарной атаки на WPA2, как мы видели выше), они могут использовать ключ для дешифрования трафика данных, записанного в прошлом в этой сети.
WPA3 обеспечивает прямую секретность. Протокол разработан таким образом, что даже при наличии сетевого пароля злоумышленник не может отслеживать трафик между точкой доступа и другим клиентским устройством.
Оппортунистическое беспроводное шифрование (OWE)
Описанное в этом техническом документе (RFC 8110) Opportunistic Wireless Encryption (OWE) — это новая функция в WPA3, которая заменяет «открытую» аутентификацию 802.11, которая широко используется в точках доступа и общедоступных сетях.
Это видео на YouTube содержит технический обзор OWE. Ключевая идея состоит в том, чтобы использовать механизм обмена ключами Диффи-Хеллмана для шифрования всего обмена данными между устройством и точкой доступа (маршрутизатором). Ключ дешифрования для связи отличается для каждого клиента, подключающегося к точке доступа. Таким образом, ни одно из других устройств в сети не может расшифровать это сообщение, даже если они его прослушивают (что называется сниффингом). Это преимущество называется Индивидуальная защита данных— трафик данных между клиентом и точкой доступа «индивидуализирован»; поэтому, хотя другие клиенты могут обнюхивать и записывать этот трафик, они не могут его расшифровать.
Большим преимуществом OWE является то, что он защищает не только сети, для подключения которых требуется пароль; он также защищает открытые "незащищенные" сети, не требующие пароля, например беспроводные сети в библиотеках. OWE предоставляет этим сетям шифрование без аутентификации. Не требуется ни подготовки, ни согласования, ни учетных данных — он просто работает, при этом пользователю не нужно делать что-либо или даже знать, что его просмотр теперь более безопасен.
Предостережение: OWE не защищает от «мошеннических» точек доступа (AP), таких как AP-приманки или злые близнецы, которые пытаются обманом заставить пользователя подключиться к ним и украсть информацию.
Еще одно предостережение: WPA3 поддерживает шифрование без аутентификации, но не требует его. Возможно, производитель получит метку WPA3 без реализации неаутентифицированного шифрования. Эта функция теперь называется Wi-Fi CERTIFIED Enhanced Open, поэтому покупатели должны искать этот ярлык в дополнение к ярлыку WPA3, чтобы убедиться, что устройство, которое они покупают, поддерживает шифрование без аутентификации.
Протокол инициализации устройства (DPP)
Протокол инициализации устройств Wi-Fi (DPP) заменяет менее безопасную защищенную настройку Wi-Fi (WPS). Многие устройства в домашней автоматизации или в Интернете вещей (IoT) не имеют интерфейса для ввода пароля и должны полагаться на смартфоны для промежуточной настройки их Wi-Fi.
Предупреждение здесь еще раз заключается в том, что Wi-Fi Alliance не обязал использовать эту функцию для получения сертификата WPA3. Так что технически это не часть WPA3. Вместо этого эта функция теперь является частью их программы Wi-Fi CERTIFIED Easy Connect. Поэтому ищите этот ярлык перед покупкой оборудования с сертификатом WPA3.
DPP позволяет устройствам аутентифицироваться в сети Wi-Fi без пароля, используя либо QR-код, либо теги NFC (связь ближнего поля, та же технология, которая обеспечивает беспроводные транзакции в Apple Pay или Android Pay).
При использовании Wi-Fi Protected Setup (WPS) пароль передается с вашего телефона на устройство IoT, которое затем использует пароль для аутентификации в сети Wi-Fi. Но с новым протоколом Device Provisioning Protocol (DPP) устройства выполняют взаимную аутентификацию без пароля.
Более длинные ключи шифрования
Большинство реализаций WPA2 используют 128-битные ключи шифрования AES. Стандарт IEEE 802.11i также поддерживает 256-битные ключи шифрования. В WPA3 более длинные ключи — эквивалент 192-битной защиты — требуются только для WPA3-Enterprise.
WPA3-Enterprise относится к корпоративной аутентификации, при которой для подключения к беспроводной сети используется имя пользователя и пароль, а не просто пароль (также известный как предварительный общий ключ), который типичен для домашних сетей.
Для потребительских приложений стандарт сертификации WPA3 сделал более длинные ключи необязательными. Некоторые производители будут использовать ключи большего размера, поскольку теперь они поддерживаются протоколом, но ответственность за выбор маршрутизатора / точки доступа будет лежать на потребителях.
Безопасность
Как описано выше, с годами WPA2 стал уязвимым для различных форм атак, включая печально известную технику KRACK, для которой доступны исправления, но не для всех маршрутизаторов, и не широко используется пользователями, поскольку требует обновления прошивки.
В августе 2018 года был обнаружен еще один вектор атаки WPA2. [1] Это упрощает злоумышленнику, который перехватывает рукопожатия WPA2, получение хэша предварительного общего ключа (пароля). Затем злоумышленник может использовать методику грубой силы, чтобы сравнить этот хэш с хешами списка часто используемых паролей или списка предположений, который пробует все возможные варианты букв и цифр различной длины. Используя ресурсы облачных вычислений, легко угадать любой пароль длиной менее 16 символов.
Короче говоря, безопасность WPA2 практически нарушена, но только для WPA2-Personal. WPA2-Enterprise намного устойчивее. Пока WPA3 не станет широко доступным, используйте надежный пароль для своей сети WPA2.
Поддержка WPA3
Ожидается, что после его введения в 2018 году поддержка станет мейнстримом через 12-18 месяцев. Даже если у вас есть беспроводной маршрутизатор, поддерживающий WPA3, ваш старый телефон или планшет может не получать обновления программного обеспечения, необходимые для WPA3. В этом случае точка доступа вернется к WPA2, так что вы все равно сможете подключиться к маршрутизатору, но без преимуществ WPA3.
Через 2-3 года WPA3 станет мейнстримом, и если вы покупаете оборудование для маршрутизатора сейчас, желательно, чтобы ваши покупки были защищены в будущем.
Wi-Fi становится безопаснее: всё, что вам нужно знать про WPA3
Недавно Wi-Fi Alliance обнародовал крупнейшее обновление безопасности Wi-Fi за последние 14 лет. Протокол безопасности Wi-Fi Protected Access 3 (WPA3) вводит очень нужные обновления в протокол WPA2, представленный в 2004 году. Вместо того, чтобы полностью переработать безопасность Wi-Fi, WPA3 концентрируется на новых технологиях, которые должны закрыть щели, начавшие появляться в WPA2.
Wi-Fi Alliance также объявил о двух дополнительных, отдельных протоколах сертификации, вводящихся в строй параллельно WPA3. Протоколы Enhanced Open и Easy Connect не зависят от WPA3, но улучшают безопасность для определённых типов сетей и ситуаций.
Все протоколы доступны для внедрения производителями в их устройства. Если WPA2 можно считать показателем, то эти протоколы в конечном итоге будут приняты повсеместно, но Wi-Fi Alliance не даёт никакого графика, по которому это должно будет происходить. Скорее всего, с внедрением новых устройств на рынок мы в итоге достигнем этапа, после которого WPA3, Enhanced Open и Easy Connect станут новыми опорами безопасности.
Что же делают все эти новые протоколы? Деталей много, и поскольку большинство из них связано с беспроводным шифрованием, встречается и сложная математика – но вот примерное описание четырёх основных изменений, которые они принесут с собой в дело беспроводной безопасности.
Одновременная аутентификация равных [Simultaneous Authentication of Equals, SAE]
Самое крупное изменение, которое принесёт WPA3. Самый главный момент в защите сети наступает, когда новое устройство пытается установить соединение. Враг должен оставаться за воротами, поэтому WPA2 и WPA3 уделяют много внимания аутентификации новых соединений и гарантии того, что они не будут являться попытками хакера получить доступ.
SAE – новый метод аутентификации устройства, пытающегося подключиться к сети. SAE – это вариант т.н. dragonfly handshake [установления связи по методу стрекозы], использующего криптографию для предотвращения угадывания пароля злоумышленником. Он говорит о том, как именно новое устройство, или пользователь, должен «приветствовать» сетевой маршрутизатор при обмене криптографическими ключами.
SAE идёт на замену методу Pre-Shared Key (PSK) [предварительно розданного ключа], используемого с момента презентации WPA2 в 2004-м. PSK также известен, как четырёхэтапное установление связи, поскольку столько именно сообщений, или двусторонних «рукопожатий», необходимо передать между маршрутизатором и подсоединяющимся устройством, чтобы подтвердить, что они договорились по поводу пароля, при том, что ни одна из сторон не сообщает его другой. До 2016 года PSK казался безопасным, а потом была открыта атака с переустановкой ключа (Key Reinstallation Attacks, KRACK).
KRACK прерывает серию рукопожатий, притворяясь, что соединение с маршрутизатором временно прервалось. На самом деле он использует повторяющиеся возможности соединения для анализа рукопожатий, пока не сможет догадаться о том, какой был пароль. SAE блокирует возможность такой атаки, а также наиболее распространённые офлайновые атаки по словарю, когда компьютер перебирает миллионы паролей, чтобы определить, какой из них подходит к информации, полученной во время PSK-соединений.
Как следует из названия, SAE работает на основании предположения о равноправности устройств, вместо того, чтобы считать одно устройство отправляющим запросы, а второе – устанавливающим право на подключение (традиционно это были устройство, пытающееся соединиться, и маршрутизатор, соответственно). Любая из сторон может отправить запрос на соединение, и потом они начинают независимо отправлять удостоверяющую их информацию, вместо того, чтобы обмениваться сообщениями по очереди, туда-сюда. А без такого обмена у атаки KRACK не будет возможности «вставить ногу между дверью и косяком», и атаки по словарю станут бесполезными.
SAE предлагает дополнительное усиление безопасности, которого не было в PSK: прямую секретность [forward secrecy]. Допустим, атакующий получает доступ к зашифрованным данным, которые маршрутизатор отправляет и получает из интернета. Раньше атакующий мог сохранить эти данные, а потом, в случае успешного подбора пароля, расшифровать их. С использованием SAE при каждом новом соединении устанавливается новый шифрующий пароль, поэтому даже если атакующий в какой-то момент и проникнет в сеть, он сможет украсть только пароль от данных, переданных после этого момента.
SAE описан в стандарте IEEE 802.11-2016, занимающем более 3500 страниц.
192-битные протоколы безопасности
WPA3-Enterprise, версия WPA3, предназначенная для работы в правительственных и финансовых учреждениях, а также в корпоративной среде, обладает шифрованием в 192 бита. Такой уровень шифрования для домашнего маршрутизатора будет избыточным, но его имеет смысл использовать в сетях, работающих с особо чувствительной информацией.
Сейчас Wi-Fi работает с безопасностью в 128 бит. Безопасность в 192 бита не будет обязательной к использованию – это будет вариант настроек для тех организаций, сетям которых она будет нужна. Wi-Fi Alliance также подчёркивает, что в промышленных сетях необходимо усиливать безопасность по всем фронтам: стойкость системы определяется стойкостью самого слабого звена.
Чтобы гарантировать подобающий уровень безопасности всей сети, от начала до конца, WPA3-Enterprise будет использовать 256-битный протокол Galois/Counter Mode для шифрования, 384-битный Hashed Message Authentication Mode режим для создания и подтверждения ключей, и алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm для аутентификации ключей. В них много сложной математики, но плюс в том, что на каждом шагу будет поддерживаться шифрование в 192 бита.
Easy Connect
Easy Connect – это признание наличия в мире огромного количества устройств, присоединённых к сети. И хотя, возможно, не все люди захотят обзавестись умными домами, у среднего человека к домашнему маршрутизатору сегодня, скорее всего, подключено больше устройств, чем в 2004 году. Easy Connect – попытка Wi-Fi альянса сделать подсоединение всех этих устройств более интуитивным.
Вместо того, чтобы каждый раз при добавлении устройства вводить пароль, у устройств будут уникальные QR-коды – и каждый код устройства будет работать как публичный ключ. Для добавления устройства можно будет просканировать код при помощи смартфона, уже соединённого с сетью.
После сканирования устройство обменяется с сетью ключами аутентификации для установления последующей связи. Протокол Easy Connect не связан с WPA3 – устройства, сертифицированные для него, должны иметь сертификат для WPA2, но не обязательно сертификат для WPA3.
Enhanced Open
Enhanced Open – ещё один отдельный протокол, разработанный для защиты пользователя в открытой сети. Открытые сети – такие, которыми вы пользуетесь в кафе или аэропорту – несут в себе целый комплекс проблем, которые обычно не касаются вас, когда вы устанавливаете соединение дома или на работе.
Многие атаки, происходящие в открытой сети, относятся к пассивным. Когда к сети подключается куча людей, атакующий может собрать очень много данных, просто фильтруя проходящую мимо информацию.
Enhanced Open использует оппортунистическое беспроводное шифрование (Opportunistic Wireless Encryption, OWE), определённое в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Для OWE не требуется дополнительная защита с аутентификацией – оно концентрируется на улучшении шифрования данных, передаваемых по публичным сетям, с целью предотвратить их кражу. Оно также предотвращает т.н. простую инъекцию пакетов [unsophisticated packet injection], в которой атакующий пытается нарушить работу сети, создавая и передавая особые пакеты данных, выглядящие, как часть нормальной работы сети.
Enhanced Open не даёт защиты с аутентификацией из-за особенностей организации открытых сетей – они по определению предназначены для всеобщего использования. Enhanced Open был разработан для улучшения защиты открытых сетей против пассивных атак, так, чтобы не требовать от пользователей ввода дополнительных паролей или прохождения дополнительных шагов.
Пройдёт, по меньшей мере, несколько лет, до того, как WPA3, Easy Connect и Enhanced Open станут нормой. Широкое распространение WPA3 произойдёт только после замены или обновления маршрутизаторов. Однако если вас беспокоит безопасность вашей личной сети, вы сможете заменить свой текущий маршрутизатор на другой, поддерживающий WPA3, как только производители начнут продавать их, что может произойти уже через несколько месяцев.
Технологии WEP, WPA, WPA2 и WPA3: что это и в чем их различия?
Защита беспроводной сети – важнейший аспект безопасности. Подключение к интернету с использованием небезопасных ссылок или сетей угрожает безопасности системы и может привести к потере информации, утечке учетных данных и установке в вашей сети вредоносных программ. Очень важно применять надлежащие меры защиты Wi-Fi, однако также важно понимать различия стандартов беспроводного шифрования: WEP, WPA, WPA2 и WPA3.
WPA (Wi-Fi Protected Access) – это стандарт безопасности для вычислительных устройств с беспроводным подключением к интернету. Он был разработан объединением Wi-Fi Alliance для обеспечения лучшего шифрования данных и аутентификации пользователей, чем было возможно в рамках стандарта WEP (Wired Equivalent Privacy), являющегося исходным стандартом безопасности Wi-Fi. С конца 1990-х годов стандарты безопасности Wi-Fi претерпели некоторые изменения, направленные на их улучшение.
Что такое WEP?
Беспроводные сети передают данные посредством радиоволн, поэтому, если не приняты меры безопасности, данные могут быть с легкостью перехвачены. Представленная в 1997 году технология WEP является первой попыткой защиты беспроводных сетей. Ее целью было повышение безопасности беспроводных сетей за счет шифрования данных. Даже в случае перехвата данных, передаваемых в беспроводной сети, их невозможно было прочитать, поскольку они были зашифрованы. Однако системы, авторизованные в сети, могут распознавать и расшифровывать данные, благодаря тому, что все устройства в сети используют один и тот же алгоритм шифрования.
WEP шифрует трафик с использованием 64 или 128-битного ключа в шестнадцатеричном формате. Это статический ключ, поэтому весь трафик, независимо от устройства, шифруется с помощью одного ключа. Ключ WEP позволяет компьютерам внутри сети обмениваться зашифрованными сообщениями, однако содержимое сообщений скрыто от злоумышленников. Этот ключ используется для подключения к беспроводной сети с включенной безопасностью.
Одна из основных задач технологии WEP – предотвращение атак типа «человек посередине», с которой она успешно справлялась в течение определенного времени. Однако, несмотря на изменения протокола и увеличение размера ключа, со временем в стандарте WEP были обнаружены различные недостатки. По мере роста вычислительных мощностей злоумышленникам стало проще использовать эти недостатки. Объединение Wi-Fi Alliance официально отказалось от использования технологии WEP в 2004 году из-за ее уязвимостей. В настоящее время технология безопасности WEP считается устаревшей, хотя иногда она все еще используется либо из-за того, что администраторы сети не изменили настроенные умолчанию протоколы безопасности беспроводных роутеров, либо из-за того, что устройства устарели и не способны поддерживать новые методы шифрования, такие как WPA.
Что такое WPA?
WPA (Wi-Fi Protected Access) – это появившийся в 2003 году протокол, которым объединение Wi-Fi Alliance заменило протокол WEP. WPA похож на WEP, однако в нем усовершенствована обработка ключей безопасности и авторизации пользователей. WEP предоставляет всем авторизованным системам один ключ, а WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol, TKIP), динамически изменяющий ключ, используемый системами. Это не позволяет злоумышленникам создать собственный ключ шифрования, соответствующий используемому в защищенной сети. Стандарт шифрования TKIP впоследствии был заменен расширенным стандартом шифрования (Advanced Encryption Standard, AES).
Кроме того, протокол WPA включает проверку целостности сообщений, чтобы определить, имел ли место захват или изменение пакетов данных злоумышленником. Протокол WPA использует 256-битные ключи, что значительно надежнее 64 и 128-битных ключей, используемых протоколом WEP. Однако, несмотря на эти улучшения, в протоколе WPA также были обнаружены уязвимости, что привело к созданию протокола WPA2.
Иногда используется термин «ключ WPA» – это пароль для подключения к беспроводной сети. Пароль WPA можно получить от администратора сети. В ряде случаев установленный по умолчанию пароль WPA может быть напечатан на беспроводном роутере. Если не удается определить пароль роутера, возможно, его можно сбросить.
Что такое WPA2?
Протокол WPA2 появился в 2004 году. Он является обновленной версией WPA. WPA2 основан на механизме сети высокой безопасности (RSN) и работает в двух режимах:
- Персональный режим или общий ключ (WPA2-PSK) – использует общий пароль доступа и обычно применяется в домашних сетях.
- Корпоративный режим (WPA2-EAP) – больше подходит для сетей организаций и коммерческого использования.
В обоих режимах используется протокол CCMP, основанный на алгоритме расширенного стандарта шифрования (AES), обеспечивающего проверку подлинности и целостности сообщения. Протокол CCMP является более надежным, чем исходно используемый в WPA протокол TKIP, поэтому его использование затрудняет атаки злоумышленников.
Однако у протокола WPA2 также есть недостатки. Например, он уязвим для атак с переустановкой ключа (KRACK). Атаки с переустановкой ключа используют уязвимость WPA2, позволяющую имитировать реальную сеть и вынуждать пользователей подключаться к вредоносной сети вместо настоящей. Это позволяет злоумышленникам расшифровывать небольшие фрагменты данных, объединение которых позволит взломать ключ шифрования. Однако на устройства могут быть установлены исправления, поэтому WPA2 считается более надежным, чем WEP и WPA.
Что такое WPA3?
WPA3 – это третья версия протокола защищенного доступа Wi-Fi. Объединение Wi-Fi Alliance выпустило WPA3 в 2018 году. В протоколе WPA3 реализованы следующие новые функции для личного и для корпоративного использования:
Индивидуальное шифрование данных. При входе в публичную сеть WPA3 регистрирует новое устройство способом, не подразумевающим использование общего пароля. В WPA3 используется протокол DPP (Device Provisioning Protocol) для сетей Wi-Fi, позволяющий пользователям использовать теги NFC или QR-коды для подключения устройств к сети. Кроме того, для обеспечения безопасности WPA3 используется шифрование GCMP-256 вместо применявшегося ранее 128-битного шифрования.
Протокол SAE (одновременная аутентификация равных). Этот протокол используется для создания безопасного «рукопожатия», при котором сетевое устройство подключается к беспроводной точке доступа, и оба устройства обмениваются данными для проверки аутентификации и подключения. Даже если пароль пользователя не достаточно надежный, WPA3 обеспечивает более безопасное взаимодействие по протоколу DPP для сетей Wi-Fi .
Усиленная защита от атак методом подбора пароля. Протокол WPA3 защищает от подбора пароля в автономном режиме. Пользователю позволяется выполнить только одну попытку ввода пароля. Кроме того, необходимо взаимодействовать напрямую с устройством Wi-Fi: при каждой попытке ввода пароля требуется физическое присутствие. В протоколе WPA2 отсутствует встроенное шифрование и защита данных в публичных открытых сетях, что делает атаки методом подбора пароля серьезной угрозой.
Устройства, работающие по протоколу WPA3, стали широко доступны в 2019 году. Они поддерживают обратную совместимость с устройствами, работающими по протоколу WPA2.
Какой протокол безопасности применяется в моей сети Wi-Fi?
Для обеспечения надлежащего уровня безопасности сети Wi-Fi важно знать, какой тип шифрования в ней используется. Устаревшие протоколы являются более уязвимыми, чем новые, поэтому вероятность их взлома выше. Устаревшие протоколы были разработаны до того, как стало полностью понятно, каким способом злоумышленники осуществляют атаки на роутеры. В новых протоколах эти уязвимости устранены, поэтому считается, что они обеспечивают лучшую безопасность сетей Wi-Fi.
Как определить тип безопасности вашей сети Wi-Fi
В Windows 10
- Найдите значок подключения к Wi-Fi на панели задач и нажмите на него.
- Затем выберите пункт Свойства под текущим подключением Wi-Fi.
- Прокрутите вниз и найдите сведения о подключении Wi-Fi в разделе Свойства.
- Под ним найдите пункт Тип безопасности, в котором отображаются данные вашего протокола Wi-Fi.
В macOS
- Удерживайте нажатой клавишу Option.
- Нажмите на значок Wi-Fi на панели инструментов.
- В результате отобразятся сведения о вашей сети Wi-Fi, включая тип безопасности.
В Android
- На телефоне Android перейдите в раздел Настройки.
- Откройте категорию Wi-Fi.
- Выберите роутер, к которому вы подключены, и посмотрите информацию о нем.
- Отобразится тип безопасности сети Wi-Fi.
- Путь к этому экрану может отличаться в зависимости от устройства.
В iPhone
К сожалению, в iOS нет возможности проверить безопасность вашей сети Wi-Fi. Чтобы проверить уровень безопасности сети Wi-Fi, можно использовать компьютер или войти на роутер через телефон. Все модели роутеров отличаются, поэтому, возможно, придется обратиться к документации устройства. Если роутер настроен интернет-провайдером, можно обратиться к нему за помощью.
WEP или WPA. Заключение
Если роутер не защищен, злоумышленники могут получить доступ к вашим частотам подключения к интернету, осуществлять незаконные действия, используя ваше подключение, отслеживать вашу сетевую активность и устанавливать вредоносные программы в вашей сети. Важным аспектом защиты роутера является понимание различий между протоколами безопасности и использование самого продвинутого из поддерживаемых вашим роутером (или обновление роутера, если он не поддерживает стандарты безопасности текущего поколения). В настоящее время WEP считается устаревшим стандартом шифрования Wi-Fi, и по возможности следует использовать более современные протоколы.
Ниже перечислены дополнительные действия, которые можно предпринять для повышения безопасности роутера:
- Изменить имя, заданное по умолчанию для домашней сети Wi-Fi.
- Изменить имя пользователя и пароль роутера.
- Поддерживать прошивку в актуальном состоянии.
- Отключить удаленный доступ, универсальную настройку сетевых устройств (Universal Plug and Play) и настройку защищенного Wi-Fi.
- Если возможно, использовать гостевую сеть.
Вы можете ознакомиться с полным руководством по настройке безопасной домашней сети. Один из лучших способов для сохранения безопасности в интернете – использование современного антивирусного решения, такого как Kaspersky Total Security, обеспечивающего защиту от злоумышленников, вирусов и вредоносных программ, а также включающего средства сохранения конфиденциальности, предоставляющие всестороннюю защиту.
Тип Шифрования WiFi — Какой Выбрать, WEP или WPA2-PSK Personal-Enterprise Для Защиты Безопасности Сети?
Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK, WPA3-PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.
Для чего нужно шифровать WiFi?
Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.
Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.
Шифрование WiFi данных и типы аутентификации
Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:
- WEP
- WPA
- WPA2
- WPA3
Что такое WEP защита wifi?
WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.
Что такое ключ WPA или пароль?
WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.
Что такое WPA2-PSK — Personal или Enterprise?
У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:
- Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
- Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.
Что такое WPA3-PSK?
Стандарт шифрования WPA3-PSK появился совсем недавно и пришел на смену WPA2. И хоть последний отличается очень высокой степенью надежности, WPA3 вообще не подвержен взлому. Все современные устройства уже имеют поддержку данного типа — роутеры, точки доступа, wifi адаптеры и другие.
Типы шифрования WPA — TKIP или AES?
Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.
- TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
- AES — последний на данный момент и самый надежный тип шифрования WiFi.
Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?
С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию
Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.
При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.