Wi-Fi Alliance đã giới thiệu cải tiến bảo mật lớn đầu tiên cho Wi-Fi trong khoảng 14 năm: WPA3. Các bổ sung quan trọng nhất cho giao thức bảo mật mới là bảo vệ tốt hơn cho các mật khẩu đơn giản, mã hóa cá nhân cho các mạng cá nhân và mở và thậm chí mã hóa an toàn hơn cho các mạng doanh nghiệp.
Tiêu chuẩn truy cập bảo vệ Wi-Fi ban đầu (WPA) đã được phát hành vào năm 2003 để thay thế WEP và phiên bản thứ hai của WPA xuất hiện vào năm sau đó. Phiên bản thứ ba của WPA là một bản cập nhật được chờ đợi và được hoan nghênh từ lâu sẽ có lợi cho ngành công nghiệp Wi-Fi, doanh nghiệp và hàng triệu người dùng Wi-Fi trung bình trên toàn thế giới, mặc dù họ có thể không biết.
WPA3 đã được công bố vào tháng 1 và chính thức ra mắt vào tháng 6 chương trình chứng nhận của Wi-Fi Alliance cho WPA3-Personal, cung cấp mã hóa cá nhân hơn và WPA3-Enterprise, giúp tăng cường sức mạnh mã hóa cho các mạng truyền dữ liệu nhạy cảm. Cùng với hai chế độ triển khai này, Wi-Fi Alliance cũng tiết lộ Wi-Fi Easy Connect, một tính năng được cho là đơn giản hóa quá trình ghép nối các thiết bị Wi-Fi mà không cần hiển thị, như thiết bị IoT; và Mở rộng Wi-Fi, một tính năng tùy chọn cho phép mã hóa liền mạch trên các mạng điểm phát sóng Wi-Fi mở.
Giải quyết các thiếu sót WPA2
Giao thức WPA2 với Tiêu chuẩn mã hóa nâng cao (AES) chắc chắn đã vá một số lỗ hổng bảo mật từ WPA gốc, sử dụng giao thức mã hóa Giao thức toàn vẹn khóa tạm thời (TKIP). Và WPA2 được coi là an toàn hơn nhiều so với bảo mật WEP đã chết từ lâu. Tuy nhiên, WPA2 vẫn có những lỗ hổng đáng kể đã xuất hiện trong thập kỷ qua.
Khả năng bẻ khóa mật khẩu WPA2-Personal bằng các cuộc tấn công brute-force – về cơ bản đoán mật khẩu nhiều lần cho đến khi tìm thấy kết quả khớp – là một lỗ hổng nghiêm trọng của WPA2. Làm cho vấn đề trở nên tồi tệ hơn, một khi tin tặc đã thu thập đúng dữ liệu từ sóng phát, họ có thể thực hiện những nỗ lực đoán mật khẩu này ngoài trang web, khiến nó trở nên thiết thực hơn đối với họ. Sau khi bẻ khóa, họ có thể giải mã bất kỳ dữ liệu nào họ đã thu được trước hoặc sau khi bẻ khóa.
Hơn nữa, độ phức tạp của cụm mật khẩu WPA2-Personal của mạng có mối tương quan với độ phức tạp của việc bẻ khóa bảo mật. Do đó, nếu mạng đang sử dụng một mật khẩu đơn giản (như giả định là đa số), thì việc bẻ khóa bảo mật sẽ dễ dàng hơn.
Một lỗ hổng lớn khác của WPA2-Personal, đặc biệt là trên các mạng doanh nghiệp, là người dùng có cụm mật khẩu có thể rình mò lưu lượng truy cập mạng của người dùng khác và thực hiện các cuộc tấn công. Mặc dù chế độ doanh nghiệp của WPA / WPA2 cung cấp bảo vệ chống lại việc rình mò từ người dùng đến người dùng, nhưng nó yêu cầu máy chủ RADIUS hoặc dịch vụ đám mây để triển khai chế độ doanh nghiệp.
Có thể cho rằng sự thiếu hụt tồi tệ nhất của Wi-Fi kể từ khi thành lập là thiếu bất kỳ bảo mật, mã hóa hoặc quyền riêng tư tích hợp nào trên các mạng công cộng mở. Bất cứ ai có các công cụ phù hợp đều có thể rình mò người dùng được kết nối với các điểm truy cập Wi-Fi trong quán cà phê, khách sạn và các khu vực công cộng khác. Việc rình mò này có thể bị động, như chỉ giám sát các trang web đã truy cập hoặc nắm bắt thông tin đăng nhập email không bảo mật hoặc các cuộc tấn công hoạt động, như chiếm quyền điều khiển phiên để có quyền truy cập vào đăng nhập trang web của người dùng.
WPA3-Personal cung cấp mã hóa an toàn và cá nhân hơn
WPA3 cung cấp các cải tiến cho mã hóa Wi-Fi chung, nhờ Xác thực đồng thời (SAE) thay thế phương thức xác thực Khóa trước chia sẻ (PSK) được sử dụng trong các phiên bản WPA trước. Điều này cho phép chức năng tốt hơn vì vậy các mạng WPA3-Personal với cụm mật khẩu đơn giản không đơn giản để tin tặc bẻ khóa bằng cách sử dụng các nỗ lực bẻ khóa ngoài trang web, vũ phu, dựa trên từ điển như với WPA / WPA2. Tất nhiên, mọi người vẫn sẽ dễ dàng đoán được mật khẩu rất đơn giản khi họ cố kết nối trực tiếp với Wi-Fi bằng thiết bị, nhưng đó là một phương pháp bẻ khóa ít thực tế hơn.
Mã hóa với WPA3-Personal được cá nhân hóa nhiều hơn. Người dùng trên mạng WPA3-Personal không thể rình mò lưu lượng WPA3-Personal của người khác, ngay cả khi người dùng có mật khẩu Wi-Fi và được kết nối thành công. Hơn nữa, nếu người ngoài xác định mật khẩu, không thể thụ động quan sát một trao đổi và xác định các khóa phiên, cung cấp bảo mật chuyển tiếp của lưu lượng mạng. Thêm vào đó, họ không thể giải mã bất kỳ dữ liệu nào được ghi lại trước khi bẻ khóa.
Wi-Fi Easy Connect là một tính năng tùy chọn được công bố gần đây có vẻ như sẽ xuất hiện với nhiều thiết bị WPA3-Personal, có thể thay thế hoặc được sử dụng cùng với tính năng Thiết lập bảo vệ Wi-Fi (WPS) đi kèm với WPA / WPA2. Wi-Fi Easy Connect đang được thiết kế để giúp kết nối các thiết bị IoT và màn hình không hiển thị với Wi-Fi dễ dàng hơn. Điều này có thể bao gồm một phương thức nút tương tự như WPS, nhưng cũng có thể thêm các phương thức bổ sung, như quét mã QR của thiết bị từ điện thoại thông minh để kết nối thiết bị một cách an toàn.
WPA3-Enterprise nhắm mục tiêu Wi-Fi quy mô lớn
Đối với WPA3-Enterprise, có bảo mật 192 bit tùy chọn được thêm vào để bảo vệ tốt hơn. Đây có thể là một tính năng được hoan nghênh cho các tổ chức chính phủ, các tập đoàn lớn và các môi trường rất nhạy cảm khác. Tuy nhiên, tùy thuộc vào việc triển khai máy chủ RADIUS cụ thể, chế độ bảo mật 192 bit trong WPA3-Enterprise có thể yêu cầu các bản cập nhật liên quan đến thành phần máy chủ EAP của máy chủ RADIUS.
Mở rộng Wi-Fi cung cấp mã hóa cho các mạng công cộng
Một trong những cải tiến lớn nhất mà Wi-Fi Alliance đã thực hiện là Mở rộng Wi-Fi. Nó cho phép các giao tiếp Wi-Fi của các mạng mở (những mạng không có mật khẩu hoặc mật khẩu) được mã hóa duy nhất giữa điểm truy cập và các máy khách riêng lẻ, dựa trên Mã hóa không dây cơ hội (OWE). Nó sử dụng Khung quản lý được bảo vệ để bảo mật lưu lượng quản lý giữa điểm truy cập và thiết bị người dùng.
Mở rộng Wi-Fi ngăn người dùng rình mò lưu lượng truy cập web của nhau hoặc thực hiện các cuộc tấn công khác, như chiếm quyền điều khiển phiên. Nó thực hiện tất cả điều này trong nền, mà không cần người dùng phải nhập bất kỳ mật khẩu hoặc làm bất cứ điều gì khác ngoài việc kết nối đơn giản như chúng ta đã từng sử dụng trên các mạng mở.
Mặc dù Tăng cường mở thực sự không phải là một phần của đặc tả WPA3, nhưng nó có thể sẽ được thêm vào trong các sản phẩm cùng lúc với WPA3. Đây là một tính năng tùy chọn cho các nhà cung cấp để đưa vào sản phẩm của họ. Hơn nữa, sự hỗ trợ của các kết nối mở di sản không được mã hóa cũng là tùy chọn. Vì vậy, có khả năng một số nhà cung cấp AP và bộ định tuyến trong tương lai có thể buộc sử dụng Wi-Fi Tăng cường mở (hoặc được bật theo mặc định), nếu WPA3 không được sử dụng.
Việc áp dụng WPA3 có thể mất nhiều năm
Về thời gian, việc áp dụng rộng rãi WPA3 sẽ không xảy ra trong một đêm. Một vài thiết bị Wi-Fi hỗ trợ WPA3 sẽ bắt đầu xuất hiện vào cuối năm 2018, nhưng hỗ trợ WPA3 vẫn là một tính năng tùy chọn và có thể không bắt buộc phải có chứng nhận Wi-Fi Alliance trong tối đa hai năm. Một số nhà cung cấp có thể tùy chọn phát hành bản cập nhật phần mềm với khả năng WPA3 cho các sản phẩm hiện có, nhưng không có gì đảm bảo. Ngoài ra, điều quan trọng cần lưu ý là một số chức năng WPA3 có thể yêu cầu cập nhật phần cứng trong các sản phẩm.
Ngoài ra, có thể mất nhiều năm để người tiêu dùng và doanh nghiệp nâng cấp.
Ngay cả khi người dùng mua máy tính xách tay hoặc điện thoại thông minh có khả năng WPA3, hãy nhớ rằng mạng phải hỗ trợ WPA3 để có được bất kỳ cải tiến bảo mật nào, mặc dù thiết bị WPA3 vẫn có thể kết nối với mạng WPA2.
Ở nhà, người dùng có quyền kiểm soát mạng và có thể chọn nâng cấp bộ định tuyến và thiết bị lên WPA3. Tuy nhiên, chi phí liên quan đến các mạng lớn hơn có thể có nghĩa là thời gian áp dụng WPA3 rất dài của các doanh nghiệp và doanh nghiệp. Đây cũng có thể là trường hợp đối với các điểm truy cập Wi-Fi công cộng nhỏ, vì internet không dây thường là một tiện ích phi doanh thu. Vì vậy, người dùng có ý thức bảo mật, những người luôn sử dụng kết nối VPN khi ở trên các mạng công cộng có thể sẽ phải giữ kết nối VPN trong một vài năm.
WPA3-Personal cung cấp chế độ chuyển tiếp để cho phép di chuyển dần sang mạng WPA3-Personal trong khi vẫn cho phép các thiết bị WPA2-Personal kết nối. Tuy nhiên, lợi ích đầy đủ của WPA3-Personal chỉ được nhận ra khi mạng ở chế độ chỉ WPA3. Những lợi ích bị mất và tác động bảo mật khi ở chế độ chuyển tiếp chưa được biết đến vào thời điểm này; đây có thể là một lý do khiến một số người trì hoãn triển khai mạng WPA3, cho đến khi có nhiều thiết bị người dùng cuối WPA3 có mặt trên thị trường.
Tiềm năng mở rộng Wi-Fi tiềm năng
Một vấn đề khác cần xem xét với Mở rộng Wi-Fi là nó có thể mang lại cho một số người dùng cảm giác an toàn sai lầm. Điều quan trọng là phải hiểu rằng mặc dù người dùng nhận được mã hóa cá nhân để giúp bảo vệ chống nghe trộm lưu lượng truy cập của họ, nhưng nó vẫn không bảo mật hoàn toàn. Người dùng không được xác thực như trên mạng WPA3, vì vậy người dùng dễ bị tổn thương hơn so với việc kết nối với mạng riêng ở nhà, nơi làm việc hoặc trường học chẳng hạn.
Khi sử dụng mạng Mở nâng cao Wi-Fi, hãy nhớ rằng mọi chia sẻ mạng mở trên thiết bị người dùng vẫn có thể được mở để người dùng kết nối. Cho rằng quyền truy cập không được bảo vệ bằng mật khẩu, cũng có thể an toàn khi nói rằng Wi-Fi Tăng cường mở sẽ không có bất kỳ tác động nào trong việc giúp ngăn chặn các mạng honeypot giả.
Ngay bây giờ, hầu hết các thiết bị Wi-Fi không chỉ rõ loại bảo mật Wi-Fi được bật trên mạng. Đây có thể là một vấn đề với Mở rộng Wi-Fi, vì ngay cả đối với người dùng có thiết bị được hỗ trợ, không dễ để xác định liệu các mạng của bên thứ ba, như các điểm nóng công cộng, có bật bảo vệ hay không. Điều này sẽ tùy thuộc vào các nhà cung cấp thiết bị và hệ điều hành để làm thế nào họ có thể hiển thị tốt hơn khả năng bảo mật của các mạng. Chẳng hạn, chúng tôi hy vọng họ sẽ làm cho nó rõ ràng đáng chú ý nếu các mạng có bật Mở rộng Wi-Fi và sau đó có cảnh báo như một số đã làm cho các mạng mở mà không có bất kỳ bảo mật nào.