Teknologi

WPA2 vs. WPA3

WPA2 vs. WPA3

Dirilis pada tahun 2018, WPA3 adalah versi Wi-Fi Protected Access Protocol yang diperbarui dan lebih aman untuk mengamankan jaringan nirkabel. Seperti yang kami jelaskan dalam perbandingan WPA2 dengan WPA, WPA2 telah menjadi cara yang disarankan untuk mengamankan jaringan nirkabel Anda sejak 2004 karena lebih aman daripada WEP dan WPA. WPA3 membuat perbaikan keamanan lebih lanjut yang membuatnya lebih sulit untuk masuk ke jaringan dengan menebak kata sandi; itu juga membuat tidak mungkin untuk mendekripsi data yang ditangkap di masa lalu saya.e., Sebelum kunci (kata sandi) retak.

Ketika Wi-Fi Alliance mengumumkan detail teknis untuk WPA3 pada awal 2018, siaran pers mereka menggembar-gemborkan empat fitur utama: jabat tangan baru yang lebih aman untuk membuat koneksi, metode yang mudah untuk menambahkan perangkat baru dengan aman ke jaringan, beberapa perlindungan dasar saat menggunakan buka hotspot, dan akhirnya meningkatkan ukuran kunci.

Spesifikasi akhir hanya mengamanatkan jabat tangan baru tetapi beberapa produsen akan menerapkan fitur lainnya juga.

Grafik perbandingan

Bagan Perbandingan WPA2 versus WPA3
WPA2WPA3
Berdiri untuk Wi-Fi Protected Access 2 Wi-Fi Protected Access 3
Apa itu? Protokol keamanan yang dikembangkan oleh Wi-Fi Alliance pada tahun 2004 untuk digunakan dalam mengamankan jaringan nirkabel; Dirancang untuk menggantikan protokol WEP dan WPA. Dirilis pada tahun 2018, WPA3 adalah generasi WPA berikutnya dan memiliki fitur keamanan yang lebih baik. Itu melindungi terhadap kata sandi lemah yang dapat retak dengan relatif mudah melalui menebak.
Metode Tidak seperti WEP dan WPA, WPA2 menggunakan standar AES sebagai ganti cipher aliran RC4. CCMP menggantikan TKIP WPA. Enkripsi 128-bit dalam mode WPA3-pribadi (192-bit di WPA3-Enterprise) dan Forward Secrecy. WPA3 juga menggantikan pertukaran kunci pra-dibagikan (PSK) dengan otentikasi simultan setara, cara yang lebih aman untuk melakukan pertukaran kunci awal.
Aman dan direkomendasikan? WPA2 direkomendasikan melalui WEP dan WPA, dan lebih aman saat Wi-Fi Protected Setup (WPS) dinonaktifkan. Itu tidak direkomendasikan melalui wpa3. Ya, WPA3 lebih aman daripada WPA2 dengan cara yang dibahas dalam esai di bawah ini.
Frame Manajemen yang Dilindungi (PMF) WPA2 mengamanatkan dukungan PMF sejak awal 2018. Router yang lebih lama dengan firmware yang tidak ditandingi mungkin tidak mendukung PMF. WPA3 Mandat Penggunaan Frame Manajemen yang Dilindungi (PMF)

Handshake Baru: Otentikasi Simultan Equals (SAE)

Saat perangkat mencoba masuk ke jaringan Wi-Fi yang dilindungi kata sandi, langkah-langkah memasok dan memverifikasi kata sandi dilakukan melalui jabat tangan 4 arah. Di WPA2, bagian protokol ini rentan terhadap serangan Krack:

Dalam serangan reinstalasi kunci [Krack], musuh menipu korban untuk menginstal ulang kunci yang sudah digunakan. Ini dicapai dengan memanipulasi dan memutar ulang pesan jabat tangan kriptografi. Saat korban menginstal ulang kunci, parameter terkait seperti nomor paket transmit tambahan (i.e. nonce) dan menerima nomor paket (i.e. counter replay) diatur ulang ke nilai awalnya. Pada dasarnya, untuk menjamin keamanan, kunci hanya boleh diinstal dan digunakan sekali.

Bahkan dengan pembaruan ke WPA2 untuk mengurangi kerentanan Krack, WPA2-PSK masih bisa retak. Bahkan ada panduan cara untuk meretas kata sandi wpa2-psk.

WPA3 Memperbaiki kerentanan ini dan mengurangi masalah lain dengan menggunakan mekanisme jabat tangan yang berbeda untuk mengautentikasi ke otentikasi Wi-Fi-Simultan-Simultous of Equals, juga dikenal sebagai CRONGONFLY Key Exchange.

Rincian teknis tentang bagaimana WPA3 menggunakan pertukaran kunci capung-yang sendiri adalah variasi dari speke (pertukaran kunci eksponensial kata sandi sederhana)-dijelaskan dalam video ini.

Keuntungan pertukaran kunci capung adalah kerahasiaan dan resistensi untuk dekripsi offline.

Resisten terhadap dekripsi offline

Kerentanan protokol WPA2 adalah bahwa penyerang tidak harus tetap terhubung ke jaringan untuk menebak kata sandi. Penyerang dapat mengendus dan menangkap jabat tangan 4 arah dari koneksi awal berbasis WPA2 saat berada di dekat jaringan. Lalu lintas yang ditangkap ini kemudian dapat digunakan secara offline dalam serangan berbasis kamus untuk menebak kata sandi. Ini berarti bahwa jika kata sandi lemah, mudah dipecahkan. Faktanya, kata sandi alfanumerik hingga 16 karakter dapat retak dengan cukup cepat untuk jaringan WPA2.

WPA3 menggunakan sistem pertukaran kunci capung sehingga tahan terhadap serangan kamus. Ini didefinisikan sebagai berikut:

Perlawanan terhadap serangan kamus berarti bahwa setiap keuntungan yang dapat diperoleh musuh harus secara langsung terkait dengan jumlah interaksi yang ia buat dengan peserta protokol yang jujur ​​dan tidak melalui komputasi. Musuh tidak akan dapat memperoleh informasi tentang kata sandi kecuali apakah satu tebakan tunggal dari protokol yang dijalankan benar atau salah.

Fitur WPA3 ini melindungi jaringan di mana kata sandi jaringan-I.e., Kunci pra-dibagikan (PSDK)-lebih lemah dari kompleksitas yang disarankan.

Kerahasiaan ke depan

Jaringan nirkabel menggunakan sinyal radio untuk mengirimkan informasi (paket data) antara perangkat klien (e.G. telepon atau laptop) dan titik akses nirkabel (router). Sinyal radio ini disiarkan secara terbuka dan dapat dicegat atau "diterima" oleh siapa pun di sekitarnya. Saat jaringan nirkabel dilindungi melalui kata sandi-apakah WPA2 atau WPA3-Sinyal dienkripsi sehingga pihak ketiga yang mencegat sinyal tidak akan dapat memahami data.

Namun, penyerang dapat merekam semua data ini yang mereka intercepting. Dan jika mereka dapat menebak kata sandi di masa mendatang (yang dimungkinkan melalui serangan kamus pada WPA2, seperti yang telah kita lihat di atas), mereka dapat menggunakan kunci untuk mendekripsi lalu lintas data yang direkam di masa lalu di jaringan itu.

WPA3 memberikan kerahasiaan ke depan. Protokol ini dirancang sedemikian rupa sehingga bahkan dengan kata sandi jaringan, tidak mungkin bagi penguping untuk mengintip lalu lintas antara titik akses dan perangkat klien yang berbeda.

Enkripsi nirkabel oportunistik (berutang)

Dijelaskan dalam whitepaper ini (RFC 8110), Enkripsi Nirkabel Oportunistik (OWE) adalah fitur baru di WPA3 yang menggantikan 802.11 otentikasi "terbuka" yang banyak digunakan dalam hotspot dan jaringan publik.

Video YouTube ini memberikan gambaran teknis dari OWE. Gagasan kuncinya adalah menggunakan mekanisme pertukaran kunci diffie-Hellman untuk mengenkripsi semua komunikasi antara perangkat dan titik akses (router). Kunci dekripsi untuk komunikasi berbeda untuk setiap klien yang menghubungkan ke titik akses. Jadi tidak ada perangkat lain di jaringan yang dapat mendekripsi komunikasi ini, bahkan jika mereka mendengarkannya (yang disebut mengendus). Manfaat ini disebut Perlindungan data individual-Lalu lintas data antara klien dan titik akses adalah "individual"; Jadi sementara klien lain dapat mengendus dan merekam lalu lintas ini, mereka tidak dapat mendekripsi.

Keuntungan besar dari berutang adalah melindungi tidak hanya jaringan yang memerlukan kata sandi untuk terhubung; Ini juga melindungi jaringan "tanpa jaminan" yang terbuka yang tidak memiliki persyaratan kata sandi, e.G. Jaringan nirkabel di perpustakaan. Hutang menyediakan jaringan ini dengan enkripsi tanpa otentikasi. Tidak ada penyediaan, tidak ada negosiasi, dan tidak ada kredensial yang diperlukan - itu hanya berfungsi tanpa pengguna harus melakukan sesuatu atau bahkan mengetahui bahwa penelusurannya sekarang lebih aman.

Peringatan: berhutang tidak melindungi dari titik akses "nakal" (AP) seperti honeypot AP atau kembar jahat yang mencoba menipu pengguna agar terhubung dengan mereka dan mencuri informasi.

Peringatan lain adalah bahwa WPA3 mendukung tetapi tidak mengamanatkan enkripsi yang tidak diautentikasi. Ada kemungkinan bahwa produsen mendapatkan label WPA3 tanpa menerapkan enkripsi yang tidak otentikasi. Fitur ini sekarang disebut Wi-Fi Certified Enhanced Open sehingga pembeli harus mencari label ini di samping label WPA3 untuk memastikan perangkat yang mereka beli mendukung enkripsi yang tidak otentikasi.

Protokol Penyediaan Perangkat (DPP)

Wi-Fi Device Provisioning Protocol (DPP) menggantikan pengaturan Wi-Fi Protected (WPS) yang kurang aman (WPS). Banyak perangkat di rumah otomatisasi-atau Internet of Things (IoT)-tidak memiliki antarmuka untuk entri kata sandi dan perlu mengandalkan smartphone untuk menengahi pengaturan wi-fi mereka.

Peringatan di sini sekali lagi adalah bahwa aliansi Wi-Fi belum mengamanatkan fitur ini untuk digunakan untuk mendapatkan sertifikasi WPA3. Jadi secara teknis bukan bagian dari WPA3. Sebaliknya, fitur ini sekarang menjadi bagian dari program Wi-Fi Certified Easy Connect mereka. Jadi cari label itu sebelum membeli perangkat keras bersertifikat WPA3.

DPP memungkinkan perangkat untuk diautentikasi ke jaringan Wi-Fi tanpa kata sandi, menggunakan kode QR atau NFC (komunikasi dekat lapangan, teknologi yang sama yang memberi daya pada transaksi nirkabel pada Apple Pay atau Android Pay) Tags.

Dengan Wi-Fi Protected Setup (WPS), kata sandi dikomunikasikan dari ponsel Anda ke perangkat IoT, yang kemudian menggunakan kata sandi untuk mengotentikasi ke jaringan Wi-Fi. Tetapi dengan Protokol Provisioning Perangkat Baru (DPP), perangkat melakukan otentikasi timbal balik tanpa kata sandi.

Kunci enkripsi yang lebih panjang

Sebagian besar implementasi WPA2 menggunakan kunci enkripsi AES 128-bit. IEEE 802.11i Standar juga mendukung kunci enkripsi 256-bit. Di WPA3, ukuran kunci yang lebih panjang-setara dengan keamanan 192-bit-tidak diamanatkan hanya untuk wpa3-enterprise.

WPA3-Enterprise mengacu pada otentikasi perusahaan, yang menggunakan nama pengguna dan kata sandi untuk menghubungkan ke jaringan nirkabel, bukan hanya kata sandi (alias kunci pra-shared) yang khas untuk jaringan rumah.

Untuk aplikasi konsumen, standar sertifikasi untuk WPA3 telah membuat ukuran kunci lebih lama opsional. Beberapa produsen akan menggunakan ukuran kunci yang lebih panjang karena mereka sekarang didukung oleh protokol, tetapi tanggung jawabnya akan menjadi konsumen untuk memilih router/titik akses yang tidak.

Keamanan

Seperti dijelaskan di atas, selama bertahun -tahun WPA2 telah menjadi rentan terhadap berbagai bentuk serangan, termasuk teknik Krack yang terkenal di mana tambalan tersedia tetapi tidak untuk semua router dan tidak banyak digunakan oleh pengguna karena memerlukan peningkatan firmware firmware.

Pada Agustus 2018, vektor serangan lain untuk WPA2 ditemukan.[1] Ini memudahkan penyerang yang mengendus jabat tangan WPA2 untuk mendapatkan hash dari kunci pra-dibagikan (kata sandi). Penyerang kemudian dapat menggunakan teknik brute force untuk membandingkan hash ini dengan hash dari daftar kata sandi yang biasa digunakan, atau daftar tebakan yang mencoba setiap variasi huruf yang mungkin dan jumlah yang bervariasi panjang yang bervariasi. Menggunakan sumber daya komputasi cloud, sepele untuk menebak kata sandi apa pun kurang dari 16 karakter.

Singkatnya, keamanan WPA2 sama baiknya dengan rusak, tetapi hanya untuk WPA2-personal. Wpa2-enterprise jauh lebih tahan. Sampai WPA3 tersedia secara luas, gunakan kata sandi yang kuat untuk jaringan WPA2 Anda.

Dukungan untuk WPA3

Setelah diperkenalkan pada tahun 2018, diperkirakan akan memakan waktu 12-18 bulan untuk mendapatkan dukungan arus utama. Bahkan jika Anda memiliki router nirkabel yang mendukung WPA3, ponsel atau tablet lama Anda mungkin tidak menerima peningkatan perangkat lunak yang diperlukan untuk WPA3. Dalam hal ini, titik akses akan kembali ke WPA2 sehingga Anda masih dapat terhubung ke router-tetapi tanpa keunggulan WPA3.

Dalam 2-3 tahun, WPA3 akan menjadi arus utama dan jika Anda membeli perangkat keras router sekarang disarankan untuk membuktikan pembelian Anda di masa depan.

Rekomendasi

  1. Jika memungkinkan, pilih WPA3 daripada WPA2.
  2. Saat membeli perangkat keras bersertifikat WPA3, lihat juga untuk sertifikasi Wi-Fi Open dan Wi-Fi Easy Connect. Seperti dijelaskan di atas, fitur -fitur ini meningkatkan keamanan jaringan.
  3. Pilih Kata Sandi Panjang dan Kompleks (Kunci Pra-dibagikan):
    1. Gunakan angka, huruf besar dan kecil, spasi, dan bahkan karakter "khusus" di kata sandi Anda.
    2. Jadikan lewatfrasa bukannya satu kata.
    3. Jadikan Long-20 karakter atau lebih.
  4. Jika Anda membeli router nirkabel baru atau titik akses, pilih satu yang mendukung WPA3 atau berencana untuk meluncurkan pembaruan perangkat lunak yang akan mendukung WPA3 di masa mendatang. Vendor router nirkabel secara berkala melepaskan peningkatan firmware untuk produk mereka. Bergantung pada seberapa bagus vendornya, mereka merilis peningkatan lebih sering. e.G. Setelah kerentanan Krack, TP-Link adalah salah satu vendor pertama yang merilis tambalan untuk router mereka. Mereka juga merilis tambalan untuk router yang lebih tua. Jadi jika Anda meneliti router mana yang akan dibeli, lihat sejarah versi firmware yang dirilis oleh produsen itu. Pilih perusahaan yang rajin tentang peningkatan mereka.
  5. Gunakan VPN saat menggunakan hotspot Wi-Fi publik seperti kafe atau perpustakaan, terlepas dari apakah jaringan nirkabel dilindungi kata sandi (i.e., aman) atau tidak.