Được phát hành vào năm 2018, WPA3 là phiên bản cập nhật và bảo mật hơn của giao thức Truy cập được bảo vệ Wi-Fi để bảo mật mạng không dây. Như chúng tôi đã mô tả trong
Khi một thiết bị cố gắng đăng nhập vào mạng Wi-Fi được bảo vệ bằng mật khẩu, các bước cung cấp và xác minh mật khẩu được thực hiện thông qua bắt tay 4 bước. Trong WPA2, phần này của giao thức dễ bị tấn công KRACK:
Trong một cuộc tấn công cài đặt lại khóa [KRACK], kẻ thù lừa nạn nhân cài đặt lại khóa đã sử dụng. Điều này đạt được bằng cách thao tác và phát lại các tin nhắn bắt tay bằng mật mã. Khi nạn nhân cài đặt lại khóa, các tham số liên quan như số gói truyền tăng dần (tức là không phải) và nhận số gói (tức là bộ đếm phát lại) được đặt lại về giá trị ban đầu. Về cơ bản, để đảm bảo an ninh, một khóa chỉ nên được cài đặt và sử dụng một lần.
Ngay cả với các bản cập nhật cho WPA2 để giảm thiểu các lỗ hổng KRACK, WPA2-PSK vẫn có thể bị bẻ khóa. Thậm chí còn có hướng dẫn cách hack mật khẩu WPA2-PSK.
WPA3 khắc phục lỗ hổng này và giảm thiểu các vấn đề khác bằng cách sử dụng cơ chế bắt tay khác để xác thực với mạng Wi-Fi - Xác thực đồng thời bằng nhau, còn được gọi là Trao đổi khóa Dragonfly.
Các chi tiết kỹ thuật về cách WPA3 sử dụng trao đổi khóa Dragonfly - bản thân nó là một biến thể của SPEKE (Trao đổi khóa hàm mũ mật khẩu đơn giản) -được mô tả trong video này.
Ưu điểm của trao đổi khóa Dragonfly là bảo mật về phía trước và khả năng giải mã ngoại tuyến.
Một lỗ hổng của giao thức WPA2 là kẻ tấn công không phải kết nối với mạng để đoán mật khẩu. Kẻ tấn công có thể đánh hơi và bắt tay 4 bước của kết nối ban đầu dựa trên WPA2 khi ở gần mạng. Lưu lượng truy cập bị bắt này sau đó có thể được sử dụng ngoại tuyến trong một cuộc tấn công dựa trên từ điển để đoán mật khẩu. Điều này có nghĩa là nếu mật khẩu yếu, nó có thể dễ dàng bị phá vỡ. Trên thực tế, mật khẩu chữ và số tối đa 16 ký tự có thể bị bẻ khóa khá nhanh đối với mạng WPA2.
WPA3 sử dụng hệ thống trao đổi khóa Dragonfly để chống lại các cuộc tấn công từ điển. Điều này được định nghĩa như sau:
Khả năng chống lại tấn công từ điển có nghĩa là bất kỳ lợi thế nào mà kẻ thù có thể đạt được phải liên quan trực tiếp đến số lượng tương tác mà cô ấy thực hiện với một người tham gia giao thức trung thực và không thông qua tính toán. Kẻ thù sẽ không thể có được bất kỳ thông tin nào về mật khẩu ngoại trừ một lần đoán từ một lần chạy giao thức là đúng hay không chính xác.
Tính năng này của WPA3 bảo vệ các mạng có mật khẩu mạng - nghĩa là khóa chia sẻ trước (PSDK) - yếu hơn độ phức tạp được đề xuất.
Mạng không dây sử dụng tín hiệu radio để truyền thông tin (gói dữ liệu) giữa thiết bị khách (ví dụ: điện thoại hoặc máy tính xách tay) và điểm truy cập không dây (bộ định tuyến). Các tín hiệu vô tuyến này được phát sóng công khai và có thể bị chặn hoặc "nhận" bởi bất kỳ ai trong vùng lân cận. Khi mạng không dây được bảo vệ thông qua mật khẩu - cho dù WPA2 hay WPA3 - các tín hiệu được mã hóa để bên thứ ba chặn tín hiệu sẽ không thể hiểu được dữ liệu.
Tuy nhiên, kẻ tấn công có thể ghi lại tất cả dữ liệu mà chúng đang chặn. Và nếu họ có thể đoán mật khẩu trong tương lai (có thể thông qua một cuộc tấn công từ điển vào WPA2, như chúng ta đã thấy ở trên), họ có thể sử dụng khóa để giải mã lưu lượng dữ liệu được ghi lại trong quá khứ trên mạng đó.
WPA3 cung cấp bảo mật về phía trước. Giao thức được thiết kế theo cách mà ngay cả với mật khẩu mạng, kẻ nghe trộm không thể rình mò lưu lượng giữa điểm truy cập và thiết bị khách khác.
Được mô tả trong whitepaper này (RFC 8110), Mã hóa không dây cơ hội (OWE) là một tính năng mới trong WPA3 thay thế cho xác thực mở 802.11 802.11 được sử dụng rộng rãi trong các điểm nóng và mạng công cộng.
Video YouTube này cung cấp tổng quan kỹ thuật về OWE. Ý tưởng chính là sử dụng cơ chế trao đổi khóa Diffie-Hellman để mã hóa tất cả giao tiếp giữa thiết bị và điểm truy cập (bộ định tuyến). Khóa giải mã cho giao tiếp là khác nhau đối với mỗi máy khách kết nối với điểm truy cập. Vì vậy, không có thiết bị nào khác trên mạng có thể giải mã được thông tin liên lạc này, ngay cả khi họ lắng nghe trên đó (được gọi là đánh hơi). Lợi ích này được gọi là Bảo vệ dữ liệu cá nhân-lưu lượng dữ liệu giữa máy khách và điểm truy cập là "cá nhân hóa"; Vì vậy, trong khi các khách hàng khác có thể đánh hơi và ghi lại lưu lượng này, họ không thể giải mã nó.
Một lợi thế lớn của OWE là nó bảo vệ không chỉ các mạng yêu cầu mật khẩu để kết nối; nó cũng bảo vệ các mạng "không bảo mật" mở không có yêu cầu về mật khẩu, ví dụ: mạng không dây tại thư viện. OWE cung cấp cho các mạng này mã hóa mà không cần xác thực. Không cung cấp, không thương lượng và không yêu cầu thông tin xác thực - nó chỉ hoạt động mà không cần người dùng phải làm bất cứ điều gì hoặc thậm chí biết rằng trình duyệt của cô giờ đã an toàn hơn.
Một cảnh báo: OWE không bảo vệ chống lại các điểm truy cập (AP) "lừa đảo" như AP honeypot hoặc cặp song sinh độc ác cố lừa người dùng kết nối với chúng và đánh cắp thông tin.
Một cảnh báo khác là WPA3 hỗ trợ - nhưng không bắt buộc - mã hóa không được xác thực. Có thể một nhà sản xuất có được nhãn WPA3 mà không thực hiện mã hóa không được xác thực. Tính năng này hiện được gọi là Mở rộng được chứng nhận Wi-Fi vì vậy người mua nên tìm nhãn này ngoài nhãn WPA3 để đảm bảo thiết bị họ mua hỗ trợ mã hóa không được xác thực.
Giao thức cung cấp thiết bị Wi-Fi (DPP) thay thế cho thiết lập bảo vệ Wi-Fi kém an toàn (WPS). Nhiều thiết bị tự động hóa gia đình - hoặc Internet vạn vật (IoT) - không có giao diện để nhập mật khẩu và cần phải dựa vào điện thoại thông minh để thiết lập Wi-Fi trung gian.
Một điều lưu ý ở đây một lần nữa là Liên minh Wi-Fi đã không bắt buộc sử dụng tính năng này để có được chứng nhận WPA3. Vì vậy, nó không phải là một phần kỹ thuật của WPA3. Thay vào đó, tính năng này hiện là một phần của chương trình Kết nối dễ dàng Wi-Fi CERTifyED của họ. Vì vậy, hãy tìm nhãn đó trước khi mua phần cứng được chứng nhận WPA3.
DPP cho phép các thiết bị được xác thực với mạng Wi-Fi mà không cần mật khẩu, sử dụng mã QR hoặc NFC (Giao tiếp trường gần, cùng công nghệ hỗ trợ các giao dịch không dây trên thẻ Apple Pay hoặc Android Pay).
Với Thiết lập bảo vệ Wi-Fi (WPS), mật khẩu được truyền từ điện thoại của bạn đến thiết bị IoT, sau đó sử dụng mật khẩu để xác thực với mạng Wi-Fi. Nhưng với Giao thức cung cấp thiết bị mới (DPP), các thiết bị thực hiện xác thực lẫn nhau mà không cần mật khẩu.
Hầu hết các cài đặt WPA2 sử dụng khóa mã hóa AES 128 bit. Chuẩn 802.11 802.11i cũng hỗ trợ các khóa mã hóa 256 bit. Trong WPA3, kích thước khóa dài hơn - tương đương với bảo mật 192 bit - chỉ bắt buộc đối với WPA3-Enterprise.
WPA3-Enterprise đề cập đến xác thực doanh nghiệp, sử dụng tên người dùng và mật khẩu để kết nối với mạng không dây, thay vì chỉ là mật khẩu (còn gọi là khóa chia sẻ trước) điển hình cho mạng gia đình.
Đối với các ứng dụng tiêu dùng, tiêu chuẩn chứng nhận cho WPA3 đã tạo ra các kích thước khóa dài hơn tùy chọn. Một số nhà sản xuất sẽ sử dụng kích thước khóa dài hơn vì hiện tại chúng được hỗ trợ bởi giao thức, nhưng trách nhiệm sẽ thuộc về người tiêu dùng để chọn bộ định tuyến / điểm truy cập.
Như đã mô tả ở trên, qua nhiều năm WPA2 đã trở nên dễ bị tấn công bởi các hình thức tấn công khác nhau, bao gồm cả kỹ thuật KRACK khét tiếng có sẵn các bản vá nhưng không dành cho tất cả các bộ định tuyến và không được người dùng triển khai rộng rãi vì nó yêu cầu nâng cấp firmware.
Vào tháng 8 năm 2018, một vectơ tấn công khác cho WPA2 đã được phát hiện.[1] Điều này giúp kẻ tấn công dễ dàng đánh hơi được những cái bắt tay WPA2 để có được hàm băm của khóa chia sẻ trước (mật khẩu). Kẻ tấn công sau đó có thể sử dụng một kỹ thuật vũ phu để so sánh hàm băm này với hàm băm của một danh sách các mật khẩu thường được sử dụng hoặc một danh sách các phép đoán thử mọi biến thể có thể của các chữ cái và số có độ dài khác nhau. Sử dụng tài nguyên điện toán đám mây, việc đoán bất kỳ mật khẩu nào dài dưới 16 ký tự là chuyện nhỏ.
Nói tóm lại, bảo mật WPA2 tốt như bị hỏng, nhưng chỉ dành cho WPA2-Personal. WPA2-Enterprise có khả năng chống chịu cao hơn rất nhiều. Cho đến khi WPA3 có sẵn rộng rãi, hãy sử dụng mật khẩu mạnh cho mạng WPA2 của bạn.
Sau khi được giới thiệu vào năm 2018, dự kiến sẽ mất 12-18 tháng để hỗ trợ đi theo xu hướng. Ngay cả khi bạn có bộ định tuyến không dây hỗ trợ WPA3, điện thoại hoặc máy tính bảng cũ của bạn có thể không nhận được các bản nâng cấp phần mềm cần thiết cho WPA3. Trong trường hợp đó, điểm truy cập sẽ quay trở lại WPA2 để bạn vẫn có thể kết nối với bộ định tuyến - nhưng không có lợi thế của WPA3.
Trong 2-3 năm nữa, WPA3 sẽ trở thành xu hướng chủ đạo và nếu bạn đang mua phần cứng bộ định tuyến thì nên kiểm chứng việc mua hàng trong tương lai.