Im Oktober 2017 veröffentlichten Forscher einen Bericht über ernsthafte Sicherheitslücken im WPA2-Standard. Es ist das Sicherheitsprotokoll, welches heutzutage bei den allermeisten WLAN-Verbindungen zum Einsatz kommt. Die Entdeckung rückte die Sicherheit des Protokolls ins Rampenlicht und regte Diskussionen über einen neuen Standard an.
Letztendlich verkündete die WiFi Alliance (Zertifizierungsorganisation für WLAN-Geräte) den WPA3-Standard. Das neue und sicherere Authentifizierungsprotokoll soll Ende des Jahres 2018 erscheinen. Der neue WLAN-Sicherheitsstandard zielt nicht darauf ab, die Reputation von WPA2 wiederherzustellen. Stattdessen sorgt er dafür, dass nach nunmehr 13 Jahren neue Features und ein verbessertes Sicherheitsprotokoll veröffentlicht werden.
Das neue Protokoll soll Verbesserung in den Bereichen Authentifizierung und Verschlüsselung schaffen. Außerdem möchte man die Konfiguration von drahtlosen Netzwerken vereinfachen. Die verbesserte Verschlüsselung wird durch das Feature der 192-bit Encryption erreicht. Selbst wenn die WiFi Alliance nicht noch einmal ausdrücklich darauf hinwies, können wir trotzdem davon ausgehen, dass auch WPA3 den 48-bit Initialization Vector gebrauchen wird. Unter diesen Umstand entspricht das WPA3-Sicherheitsprotokoll höchsten Sicherheitsansprüchen, welche für Netzwerke mit strikten Sicherheitsrichtlinien gelten müssen, wie etwa für Netzwerke für Regierungen, Militär oder industrielle Anlagen.
Ein anderes bemerkenswertes Feature von WPA3 ist die Implementierung des Dragonfly-Protokolls, was Simultaneous Authentication of Equals (SAE) miteinbezieht. SAE zielt darauf ab, die Sicherheit während des Schlüsselaustausches beim Handshake zu verbessern. Infolgedessen ist WPA3 in der Lage, robuste Sicherheit selbst dann zu gewährleisten, wenn kurze oder schwache Kennwörter verwendet werden.
Dieses Feature ist insofern nützlich, da es einigen Computer-Usern schwerfällt, komplexe und schwierig zu erratene Kennwörter zu erzeugen und sich dann auch zu merken. Laut der WiFi Alliance soll es zukünftig fast unmöglich sein, ein WLAN-Netzwerk mit Wörterbuch-Attacken oder durch Brute Force zu knacken.
Zusätzliche soll WPA3 Abhilfe bei Privatsphäreproblemen schaffen, wenn jemand oft von öffentlichen WLAN-Netzwerken (Coffee Shops, Hotels oder Flughafen) aus fernarbeitet. Das ist auf die individuelle Datenverschlüsselung zurückzuführen, bei der jede Verbindung zwischen einem Endgerät und einem Router mit einem einzigartigen Schlüssel verschlüsselt ist. Das mindert auch das Risiko für Man-in-the-Middle-Attacken.
“Das neue Protokoll soll Verbesserung in den Bereichen Authentifizierung und Verschlüsselung bringen.“
Die durch WPA3 erwarteten Verbesserungen zielen eindeutig darauf ab, das Protokoll zu stärken und die Sicherheit für die Benutzer zu erhöhen. Gleichzeitig versucht das Protokoll, WLAN-Verbindungen für Geräte zu vereinfachen, die keine grafische Benutzeroberfläche (GUI) besitzen. Insgesamt ist das besonders für die vielen IoT-Geräte interessant. In den meisten Fällen, verbinden sich die Internet-of-Things-Geräte per Knopfdruck mit einem Drahtlosnetzwerk. Wir gehen davon aus, dass die Verbindungsherstellung via WPS-Taste auch von WPA3 aufgegriffen und verbessert wird.
Noch liegt nicht viel mehr Spezifisches zur WPA3-Implementierung vor, allerdings sind ein paar Standards bereits eine Weile bekannt. Die Hersteller werden nun also verpflichtet sein, geltende Anforderungen einzuhalten, um die WPA3-Zertifizierung von der WiFi Alliance zu erhalten.
Da WPA3 natürlich hauptsächlich in neuen Geräten zum Einsatz kommt, wird es im Heimbereich beispielsweise eine Weile dauern, bis sich das Protokoll durchsetzt, da erfahrungsgemäß nicht sehr viele Computer-User ihren funktionstüchtigen Router ersetzen werden.
Klar ist, dass WPA3 kein unmittelbarer Ersatz für seine Vorgänger ist. Im Gegenteil, WPA2 wird noch lange Zeit bestehen und auch aktualisiert werden. Parallel wird WPA3 schon in neue Geräte implementiert. Die WiFi Alliance verkündete weitere Sicherheitstest für den WPA2-Standard, um Schwachstellen einzudämmen (die beispielsweise durch unsichere Konfigurationen verursacht werden) oder drahtlose Netzwerke besser abzusichern. Bis uns neue Informationen zum Thema WPA3 erreichen, empfehlen wir vorerst einen Blick in den Beitrag „Router-Sicherheit“ zu werfen.