WPA3 schützt vor WLAN-Einbrüchen und koppelt Geräte ohne Display an
Die WLAN-Sicherheitstechnik WPA2 ist löchrig geworden. Den Super-GAU will die Wi-Fi Alliance mit dem neuen WPA3 vermeiden, macht aber nicht alle glücklich.
Die Industrieorganisation Wi-Fi Alliance (WFA) hat die WLAN-Spezifikationen zur Authentifizierung und Verschlüsselung wie erwartet um das verbesserte Verfahren WPA3 erweitert. Der Schritt ist erforderlich, weil das 2004 eingeführte WPA2 allmählich löchrig geworden ist. Die WFA vereint viele Chip- und Gerätehersteller und zertifiziert WLAN-Geräte – demnächst also auch hinsichtlich der WPA3-Funktion. So ist zur Einführung ab 2019 eine Hersteller-übergreifende Kompatibilität zu erwarten. Außerdem sichert die WFA eine "Interoperabilität mit WPA2-Geräten" zu, sodass WPA3 ältere Geräte nicht aussperrt.
Bei WPA3 gibt es wie auch bei den Vorgängern WPA und WPA2 zwei Varianten: Der Hauptunterschied besteht darin, dass WLAN-Router und -Basen (Access Points), die für den Privatgebrauch (Personal) konzipiert sind, nur einen gemeinsamen Schlüssel für alle Nutzer ihrer Funkzellen verwenden (Pre-Shared Key, PSK). Bei der Firmen-Variante namens WPA3-Enterprise teilt ein Administrator jedem Nutzer einen eigenen Schlüssel zu.
Gegen Wörterbuchattacken auf einfache Passwörter
WPA3 bringt diverse neue Funktionen, um die Handhabung zu vereinfachen und die Sicherheit zu erhöhen. Die WFA nennt unter anderem eine "robustere Authentifizierung" und "verbesserte Kryptografie". Zugleich schneidet WPA3 alte Zöpfe ab und schließt unsichere Protokolle explizit aus. Auch prüft die WFA bei den Zertifizierungstests, ob die Geräte diese Richtlinien tatsächlich umsetzen.
Das ist wichtig, weil WPA2 anfällig ist gegen einen Offline-Wörterbuchangriff auf schwache Passwörter; der Angriff setzt lediglich die Aufzeichnung von Handshakes voraus. Damit ist WPA2 noch nicht gänzlich unbrauchbar, aber die WFA will eine Verbesserung bringen, bevor in WPA2 möglicherweise ein noch größeres Loch entdeckt wird. Sie setzt daher in WPA3-Personal beim Schlüsselaustausch mittels eines vorab festgelegten Passworts auf das SAE-Verfahren (Simultaneous Authentication of Equals). Die Methode soll das Offline-Knacken des Passworts enorm erschweren und auch das nachträgliche Entschlüsseln von Nutzdaten verhindern (Perfect Forward Secrecy).
Manche Beobachter zweifeln den Nutzen von WPA3-Personal an, weil viele Internet-Anwendungen TLS verwenden und damit selbst in unverschlüsselten Hotspots nicht ausgeschnüffelt werden können. Dazu zählen zum Beispiel Cloud-Synchronisierung, die meisten Messaging-Apps, viele Mail-Angebote und zunehmend auch Web-Dienste. Allerdings schließt WPA3 eben nicht nur unerwünschte Mitleser aus, sondern verhindert auch das Eindringen in private Netze anhand von Wörterbuchattacken auf schwache Passwörter.
Außerdem wirbt die WFA für WPA3-Enterprise und die neue optionale Betriebsart mit einer 192-Bit-Chiffre. Diese bringe "zusätzliche Sicherheit" für Netze, die vertrauliche Daten übertragen, und sei besonders für Regierungsstellen und das Bankgewerbe nützlich. Die Erweiterung kommt aber nicht überall gut an, denn sie ist nicht abwärtskompatibel, sodass sie Investitionen in neue Geräte erzwingen würde. Beispielsweise warnt der WLAN-Diensteanbieter Eduroam in einem aktuellen Advisory ausdrücklich davor, den 192-Bit-Modus im Rahmen des Eduroam-Dienstes einzurichten. Eduroam (education roaming) bietet für die Forschung und Lehre einen weltweiten WLAN-Roaming-Service. Teilnehmer können WLANs von Institutionen und Forschungseinrichtungen in 72 Regionen der Welt mit einem einzigen Konto nutzen. Eduroam vermittelt den Teilnehmern die Authentifizierung gegen den RADIUS-Server ihres Heimat-WLANs.
Vermittlung für Geräte ohne Display
Neu und bemerkenswert ist auch der Easy-Connect-Modus. Dieser soll die WLAN-Kopplung von Geräten vereinfachen, die gar keine oder stark vereinfachte Bedienoberflächen haben. Damit zielt die WFA auf den wachsenden Markt des Internet of Things (IoT). Mit Easy Connect könnten Nutzer künftig beliebige Geräte zu ihrem WLAN hinzufügen, indem sie das User Interface eines anderen Geräts, etwa eines Smartphones verwenden. Dazu scannt ein Smartphone mittels einer spezifischen App den QR-Code des Ziel-Access-Points sowie den QR-Code des IoT-Geräts. Anhand der über die QR-Codes erfassten Daten wird dann das IoT-Gerät für die Kopplung mit dem Access-Point provisioniert. Anschließend bucht es sich selbstständig in das neue WLAN ein.
Einzelheiten zum WPA3-Verfahren finden Sie im c't-Artikel
- "Sicherer funken – WPA3 löst die löchrige WLAN-Verschlüsselung WPA2 ab"
Weitere Informationen
(dz)
