WPA3 - Wireless Protected Access 3

WPA3 (WiFi Protected Access Version 3) ist ein Standard aus dem Jahr 2018 für die Authentifizierung und Verschlüsselung von WLANs, die auf den IEEE-Spezifikationen 802.11 basieren. Die Version 3 von WPA ist notwendig, weil der Vorgänger WPA2 zwar nicht gänzlich unsicher ist, aber die Sicherheit eines mit WPA2 gesicherten WLANs im wesentlichen von der WPA-Implementierung und der Komplexität des WLAN-Passworts abhängig ist.

Abhängig vom Hersteller wird WPA3 per Firmware- oder Treiber-Update in WLAN-Clients und Access Points einziehen. Gleichzeitig müssen alle WPA3-Geräte müssen auf WPA2 zurückfallen können (WPA3-SAE Transition mode). Denn bis alle alten, nur WPA2-fähigen Geräte aus dem Markt verschwunden sind, wird es viele Jahre dauern.

Vorteile von WPA3

WPA3 enthält neue Funktionen, um die Authentifizierung zu vereinfachen und die Sicherheit der Authentifizierung und Verschlüsselung zu erhöhen.

  • robustere Authentifizierung und verbesserte Kryptografie
  • einfache Konfiguration für Geräte, die keine Bedienelemente haben
  • individuelle Verschlüsselung für jedes Gerät
  • Interoperabilität mit WPA2-Geräten

Sicherheitskonzept von WPA3

Bei WPA3 gibt es wie auch bei den Vorgängern WPA und WPA2 zwei Varianten. Der "Personal Mode" ist für den Privatgebrauch konzipiert, bei dem alle Nutzer zur Authentifizierung das gleiche WLAN-Passwort (Pre-Shared Key, PSK) verwenden. Der "Enterprise Mode" ist für Unternehmen gedacht und ermöglicht die individuelle Authentifizierung, bei der sich der Nutzer mit seinem eigenen Benutzernamen und Passwort am Netzwerk anmeldet und von einem zentralen Dienst den Zugang zum WLAN freigeschaltet bekommt.

SAE - Simultaneous Authentication of Equals

Simultaneous Authentication of Equals, kurz SAE, bildet die Grundlage für ein sicheres Aushandeln des Sitzungsschlüssels zwischen WLAN-Client und Access Point, der zum Verschlüsseln der Datenpakete verwendet wird. Dabei wird beim WPA3-Handshake das eigentliche Geheimnis nicht mehr über den Funkkanal übertragen, wie bei WPA und WPA2, sondern nur das Ergebnis einer Berechnung. Zusätzlich bestätigen sich die beteiligen Geräte zeitlich asynchron, dass sie über das gleiche Geheimnis verfügen.

Das als "Dragonfly" bezeichnete Verfahren erschwert mittels "Zero-knowledge Proof" das Offline-Knacken des WLAN-Passworts. Dabei wird verhindert, dass der Angreifer das Passwort herausbekommt, in dem er den WPA3-Handshake mitschneidet und später einen Wörterbuch- oder Brute-Force-Angriff durchführt.
Außerdem stellt SAE sicher, dass ein Angreifer auch bei Kenntnis des WLAN-Passworts keine Datenpakete nachträglich entschlüsseln kann (Perfect Forward Secrecy).

PMF - Protected Management Frames

Die Protected Management Frames (PMF) sind kryptografisch geschützte Steuerungspakete.

Ohne Protected Management Frames (PMF) kann ein Angreifer gefälschte Deassoziierungspakete verschicken, um Clients aus WLAN-Netzen oder -Hotspots abzumelden (Deauthentication-Angriff). Dadurch kann ein Angreifer den Betrieb eines WLANs stören oder die erneute Anmeldung der WLAN-Clients erzwingen, um einen erfolgreichen WPA-Handshake aufzuzeichnen. Der ist erforderlich, um das WLAN-Passwort per Wörterbuch-Angriff herauszubekommen.

PMF ist bereits ein Teil von IEEE 802.11ac und zieht mit WPA3 in das WLAN-Sicherheitskonzept ein.
PMF macht natürlich nur dann Sinn, wenn im selben Zug der Access Point zur Abwärtskompatibilität keine alten WLAN-Standards mehr anbietet.

DPP - Device Provisioning Protocol (Easy-Connect)

Das Device Provisioning Protocol, kurz DPP, sieht einen Easy-Connect-Modus vor, bei dem das Koppeln von WLAN-Clients ohne Tastatur und Display vereinfacht wird. Gemeint sind zum Beispiel typische IoT-Geräte.
Hierbei kann der Nutzer zum Beispiel ein Smartphone verwenden, um ein bliebiges Gerät einem WLAN hinzuzufügen. Dazu scannt der Nutzer mit einer spezifischen App den QR-Code des Access Points und des neuen Geräts ab. Anhand der erfassten Daten wird das neue Gerät für die Kopplung mit dem Access Point konfiguriert. Anschließend meldet sich das neue Gerät beim Access Point an.

WLAN-Hacking und -Pentesting

Übersicht: WLAN-Sicherheit

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Alles was Sie über Netzwerke wissen müssen.

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Alles was Sie über Netzwerke wissen müssen.

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!