Waarom is WPA3 ontwikkelt?
WPA2 werd in 2017 gekraakt. Dit was WPA2 voor particulieren (WPA2-Personal) om specifiek te zijn. Hackers kwamen er achter dat wanneer zij fysiek in de buurt waren van WPA2 netwerken, data pakketjes die via wifi verstuurd werden konden worden opgevangen. En deze data kon vervolgens bij de hackers thuis weer gekraakt worden. Natuurlijk niet de bedoeling…
Met veel rekenkracht proberen hackers de beveiliging van de data te kraken en wachtwoorden te raden, ook wel brute forcing genoemd. Daarnaast bestaan de meeste wachtwoorden uit de naam van de kinderen (of die van de honden en poezen) en de geboortedatum. Hierom is een sterk wachtwoord dan ook zo belangrijk, want hoe langer het wachtwoord, hoe moeilijker het te kraken is. Wat WPA2-Personal zo kwetsbaar maakt is dat wanneer het eenmaal gekraakt is, ook oudere data (die op een eerder punt is opgevangen) achterhaald kan worden. WPA3 werd ontwikkeld als reactie op deze kwetsbaarheden.
Een keer een ander wachtwoord aanmaken dan de naam van je hond?? Lees dan deze blog die oud-collega Jelle heeft geschreven over een veilig (Wi-Fi) wachtwoord bedenken.
Wat maakt WPA3 beter dan WPA2?
In WPA2 zijn verschillende zwaktes en tekortkomingen van WPA2 veranderd en opgelost. Dit is er veranderd:
Iedere gebruiker krijgt een uniek wachtwoord en deze wachtwoorden zijn ingewikkelder.
- Easyconnect om makkelijker IoT apparaten en gasten aan te melden door QR-codes (in de QR-code staat het wachtwoord en je moet zelf goedkeuring geven om IoT of gasten te laten verbinden. Dubbel beveiligd dus!)
- Oude data, die door hackers is opgevangen, kan niet meer op een later moment ontcijferd worden (dit heet Perfect Forward Secrecy).
- Openbare netwerken zijn stukken veiliger dankzij hogere encryptie van data (Enhanced Open).
- Wanneer een hacker data opvangt om te hacken, kan hij maar 1 wachtwoord proberen tijdens het brute forcen. Ook moet hij met het netwerk blijven communiceren (dus fysiek in de buurt zijn en verbinding te maken) waardoor het veel onhandiger wordt voor kwaadwillenden. Het is niet echt praktisch om 10 jaar met een busje voor iemands kantoor het netwerk proberen te brute forcen.
Om hier wat dieper op in te gaan hebben we nog wat concrete voorbeelden. Dankzij Perfect Forward Secrecy (PFS) is het niet meer mogelijk om opgevangen data op een later tijdstip te ontcijferen. Om het een beeld te geven: zie het alsof je wordt toegevoegd in een groepsapp en dat je niet kan lezen wat er allemaal is gezegd voordat jij werd toegevoegd. Dit is in essentie wat PFS doet, oude data kan niet meer ontcijferd worden wanneer het gekraakt is. Dus pas nadat een netwerk gekraakt is, kan er nieuwe data pas ontcijferd worden.
Doordat de encryptie een stuk is verhoogd, wordt het kraken van WPA3 moeilijker gemaakt. Ten eerste moet een hacker fysiek in de buurt zijn om data te kraken door PFS en door de verhoogde beveiliging moet een hacker ook nog meer tijd en rekenkracht inzetten om wachtwoorden te kraken: veel te onhandig in de praktijk.
Heb je weleens het wachtwoord in je slimme IoT kattenbak of tv moeten invullen? Dat is vaak mega onhandig. Met de komst van WPA3 kan dit super makkelijk geregeld worden doordat je een QR-code moet scannen. In deze QR-code staat het wachtwoord en moet je zelf ook nog eens toestemming geven om het apparaat toe te staan op het netwerk: dubbel veilig dus.
Openbare hotspots zijn ook stukken veiliger geworden dankzij WiFi Enhanced Open. Wi-Fi Enhanced Open is een encryptie laag die over het openbare netwerk (zoals in de trein of in een winkelcentrum) komt. Hierdoor kan verkeer niet meer worden afgeluisterd door andere gebruikers op het netwerk. Dit komt doordat de data die verstuurd zijn van apparaat tot access point versleuteld is.
WPA2 en WPA3 Enterprise
Ondanks dat WPA2 aardig oud is, is de WPA2-Enterprise (802.1X) (zie ook onze blog: “hoe werkt RADIUS & 802.1X?”) versie stukken veiliger dan de Personal variant. Dat komt omdat bij de Enterprise versie niet alleen een wachtwoord maar ook een gebruikersnaam gebruikt moet worden. Deze combinatie van naam en wachtwoord zorgt er voor dat er eerst een naam achterhaald moet worden voordat dit te brute forcen is.
Daarnaast is er ook WPA3 Enterprise. Deze standaard werkt volgens dezelfde principes qua toegang maar heeft een nog sterkere encryptie laag er over. De encryptiesleutel is een stuk langer geworden (van 128-bits naar 256-bits). Ook worden wachtwoorden op een veiligere manier uitgewisseld (door middel van SAE, Simultaneous Authentication of Equals), door deze uitwisseling kan oud opgevangen data niet meer gebruikt worden om wachtwoorden te kraken. Ten slotte zijn de wachtwoordeisen een stuk strenger ten opzichte van WPA2 Enterprise.
Moet ik al gebruikmaken van WPA3?
Als jouw router en apparatuur het ondersteund zeggen wij “ja, go for it!”. Alleen is het probleem dat er op dit moment nog oude veel apparaten zijn die het niet ondersteunen en ook geen update meer ontvangen om dit in de toekomst wél te kunnen ondersteunen.
Het is een prachtige techniek, maar het is in onze ogen nog te vroeg om volledig naar over te stappen. Denk bijvoorbeeld aan de levensduur van IoT apparaten. Het is nou niet dat je je tv vervangt om de twee jaar. Waarschijnlijk blijven er voorlopig apparaten in het netwerk rondzweven die geen WPA3 ondersteunen. Wat je dan krijgt is dat er een gedeelte via WPA2 en een ander gedeelte via WPA3 verbindt. Dit verlaagt de algemene veiligheid van het netwerk want het is zo sterk als de zwakste schakel.
Hierom raden wij aan om gefaseerd hardware te vervangen dat WPA3 ondersteunt. Blijf er wel scherp op of er ook apparatuur op het netwerk zit wat WPA3 niet ondersteunt en ook niet zomaar vervangen wordt zoals een slimme deurbel bijvoorbeeld. Breng in kaart waar de zwakste schakels zitten en vervang die naar verloop van tijd.
Waar moet je rekening mee houden bij de implementatie van WPA3?
Het kan zijn dat een van je apparaten WPA3 nog niet ondersteunt. Dit kan problemen geven wanneer je deze apparaten aan dit netwerk wilt verbinden. Hou hier dus rekening mee als je het implementeert. Een tip van Flip is om alvast een netwerk op te zetten waar je IoT apparaten aan kunt toevoegen. Als er dan apparatuur is wat niet ondersteund wordt op dit netwerk, vervang die apparatuur dan gewoon. Het is namelijk goed verouderd en brengt beveiligingsrisico’s met zich mee. Een ander punt waar rekening mee gehouden moet worden is dat WPA3 verplicht wordt om gebruik te maken van de 6GHz band.
Wat zijn WPA2 en WPA3 Transitional?
De Transitional functie is een compatibiliteitsmodus voor je Wi-Fi netwerk. Apparaten die niet kunnen verbinden met WPA3 kunnen met hetzelfde wachtwoord verbinding maken over WPA2. Waarom wil je dat niet?
- Het is onveilig, immers je kunt WPA2 kraken en vervolgens het wachtwoord uitvogelen dat je ook voor WPA3 gebruikt.
- Het lost je probleem niet op, oudere apparaten kunnen nog steeds geen gebruik maken van de voordelen van WPA3.
- Op het internet zijn er veel problemen bekend met deze standaard. Het zorgt ervoor dat apparaten niet goed verbinden. Vooral smartphones werken niet goed met deze standaard.
- Het aanzetten van deze functionaliteit betekent niet dat nieuwere apparaten automatisch zullen overstappen naar WPA3, die hebben de neiging om gewoon lekker te blijven zitten waar je zit. Om dat te doorbreken pas je de naam en het wachtwoord aan. Als je dat toch al moet doen, waarom dan niet gelijk doorpakken en het veilige WPA3 implementeren?
Kortom; het is niet veilig, je lost er geen probleem mee op en het zorgt voor problemen. Skip deze feature.
Conclusie
WPA3 biedt grote voordelen en verbeteringen qua beveiliging ten opzichte van WPA3. Vooral op WPA2-Personal. Door het toevoegen van belangrijke, uitgebreide beveiligingsstandaarden worden brute forces stukken moeilijker gemaakt en is jullie netwerk weer zo goed beveiligd als Fort Knox. Dus, mocht je apparaat compatibel zijn met WPA 3, maak er dan ook gebruik van! Zo houd je de boeven van je gegevens vandaan ;).
