c't 22/2020
S. 26
Titel
Fritzbox-Privatsphäre: WLAN-Schutz
Bild: Andreas Martini

Extrasicher funken

WPA3 schützt das WLAN, nicht nur an Fritzboxen

Einer der großen Fortschritte in FritzOS 7.20 ist die verbesserte WLAN-Verschlüsselung WPA3. Sie stopft nicht nur die in WPA2 in den letzten Jahren entdeckten Lücken, sondern bringt auch nützliche neue Funktionen mit. WPA3 klappt auch schon mit ­vielen Geräten.

Von Dr. Alfred Arnold und Ernst Ahlers

Mit WPA3 in FritzOS 7.20 liefert AVM eine Runderneuerung der WLAN-Verschlüsselung: Für den Anwender sieht alles mehr oder weniger wie gewohnt aus, aber er wird besser gegen Angriffe und Ausspähen geschützt. Im Folgenden schildern wir, wie WPA3 das schafft. Beim Verständnis hilft ein kurzer Rückblick, der nicht nur Fritzbox-Besitzern nutzt, sondern auch denen anderer Router und WLAN-Basen (Access-Points). Er schildert die WPA2-Ausgangslage und gibt Einrichtungstipps, unter anderem zu sicheren Passwortlängen und Optionen, mit denen man Geräte bequem koppeln kann. Wer das schon im Hinterkopf hat, kann zum Abschnitt „WPA3 endlich da“ vorspringen.

Bereits 2004 erschien das heute übliche WPA2. Es verwendet den immer noch als sicher geltenden AES-Algorithmus (Advanced Encryption Standard) für das Chiffrieren der Daten. Sein Schutz hielt fast fünfzehn Jahre, eine in IT-Maßstäben sehr lange Zeit, in der sich die WLAN-Datenrate von 54 auf 1733 MBit/s brutto mehr als verdreißigfachte. Aber auch die besten Schlösser rosten.

Vor einigen Jahren stellte sich heraus, dass WPA2-Personal anfällig gegen Off­line-Dictionary-Attacken ist: Ein Angreifer kann die notwendigerweise noch unverschlüsselte Anmeldung eines Clients, den sogenannten Key Handshake, mitschneiden und mithilfe eines Wörterbuches durchprobieren, welches Passwort zu den dabei ausgetauschten kryptografischen Prüfsummen passt.

Die Hardware für solche Brute-­Force-Angriffe wurde wie die fürs WLAN über die Jahre immer billiger und leistungsfähiger. 2016 stellte ein Forscherteam der Uni Wien auf einer internationalen Konferenz eine auf die Aufgabe spezialisierte Hardware vor: Die knapp 100.000 US-Dollar teure FPGA-Implementierung kann über 10 Millionen Passwörter pro Sekunde testen (siehe Link unter ct.de/yt8p) – so was gönnen sich Dienste mit dreibuchstabigen Abkürzungen für staatlich gedeckte Spionage.

Bitte würfeln!

Falls Sie einen Router haben, der sich nicht für WPA3 eignet (etwa ältere Fritzboxen), prüfen Sie Ihren WPA2-Schlüssel: Dabei gilt der dringende Rat, möglichst lange und – besonders wichtig – erwürfelte Passwörter zu verwenden. Mit jedem weiteren Zeichen, das zufällig aus Buchstaben (groß und klein) sowie Ziffern gewählt wird, vergrößert sich der Suchraum um den Faktor 62.

Kommentare lesen (3 Beiträge)