WPA-nøkkel, WPA2, WPA3 og WEP-nøkkel: Wi-Fi-sikkerhet forklart

Sette opp nytt Wi-Fi? Å velge passordtypen du trenger kan virke som et vilkårlig valg. Tross alt har WEP, WPA, WPA2 og WPA3 stort sett de samme bokstavene i seg.

Et passord er et passord, så hva er forskjellen? Omtrent 60 sekunder til milliarder år, som det viser seg.

All Wi-Fi-kryptering er ikke likt. La oss utforske hva som gjør disse fire forkortelsene så forskjellige, og hvordan du best kan beskytte hjemmet og organisasjonen Wi-Fi.

Wired Equivalent Privacy (WEP)

I begynnelsen var det WEP.

WEP-illustrasjon

Wired Equivalent Privacy er en utdatert sikkerhetsalgoritme fra 1997 som var ment å gi tilsvarende sikkerhet til en kablet forbindelse. "Utfaset" betyr "La oss ikke gjøre det lenger."

Selv da den først ble introdusert, var det kjent at den ikke var så sterk som den kunne ha vært, av to grunner:

  • dens underliggende krypteringsmekanisme, og
  • Andre verdenskrig.

Under andre verdenskrig var virkningen av kodebrudd (eller kryptanalyse) enorm. Regjeringer reagerte ved å prøve å holde de beste hemmelige sausoppskriftene hjemme.

Rundt tidspunktet for WEP førte de amerikanske myndighetens begrensninger for eksport av kryptografisk teknologi til at produsenter av tilgangspunkt begrenset enhetene sine til 64-biters kryptering. Selv om dette senere ble løftet til 128-bit, tilbød selv denne formen for kryptering en svært begrenset mulig nøkkelstørrelse.

Dette viste seg å være problematisk for WEP. Den lille nøkkelstørrelsen resulterte i at det ble lettere å tøffe, spesielt når nøkkelen ikke ofte endres.

WEPs underliggende krypteringsmekanisme er RC4-streamkryptering. Denne krypteringen ble populær på grunn av sin hastighet og enkelhet, men det kostet.

Det er ikke den mest robuste algoritmen. WEP benytter en enkelt delt nøkkel blant brukerne som må angis manuelt på en tilgangspunktenhet. (Når sist du endret Wi-Fi-passordet ditt? Ikke sant.)

WEP hjalp ikke saken heller ved å bare sammenkoble nøkkelen med initialiseringsvektoren - det vil si at den slags moset sine hemmelige sausbiter sammen og håpet på det beste.

Initialization Vector (IV): input i fast størrelse til en kryptografisk algoritme på lavt nivå, vanligvis tilfeldig.

Kombinert med bruk av RC4, forlot dette WEP spesielt utsatt for angrep med relatert nøkkel. Når det gjelder 128-bit WEP, kan Wi-Fi-passordet ditt knekkes av offentlig tilgjengelige verktøy i løpet av rundt 60 sekunder til tre minutter.

Mens noen enheter kom til å tilby 152-biters eller 256-biters WEP-varianter, klarte dette ikke å løse de grunnleggende problemene med WEPs underliggende krypteringsmekanisme.

Så ja. La oss ikke gjøre det lenger.

Wi-Fi Protected Access (WPA)

WPA illustrasjon

En ny, midlertidig standard forsøkte å midlertidig "lappe" problemet med WEPs (mangel på) sikkerhet. Navnet Wi-Fi Protected Access (WPA) høres absolutt sikrere ut, så det er en god start. Imidlertid startet WPA først med et annet, mer beskrivende navn.

Ratifisert i en 2004 IEEE-standard, bruker Temporal Key Integrity Protocol (TKIP) en dynamisk generert, per pakke nøkkel. Hver sendte pakke har en unik, tidsmessig 128-bit nøkkel, (se? Beskrivende!) Som løser følsomheten for angrep med beslektede nøkler, forårsaket av WEPs delte nøkkelmashing.

TKIP implementerer også andre tiltak, for eksempel en meldingsautentiseringskode (MAC). Noen ganger kjent som et kontrollsum, gir en MAC en kryptografisk måte å verifisere at meldinger ikke er endret.

I TKIP kan en ugyldig MAC også utløse gjeninnlasting av øktnøkkelen. Hvis tilgangspunktet mottar en ugyldig MAC to ganger i løpet av et minutt, kan det forsøkes å motvirke ved å endre nøkkelen en angriper prøver å knekke.

Dessverre, for å bevare kompatibiliteten med den eksisterende maskinvaren som WPA var ment å "lappe", beholdt TKIP bruken av den samme underliggende krypteringsmekanismen som WEP - RC4-strømkrypteringen.

Selv om det absolutt forbedret svakhetene til WEP, viste TKIP seg til slutt sårbare for nye angrep som utvidet tidligere angrep på WEP.

Disse angrepene tar litt lengre tid å utføre ved sammenligning: for eksempel tolv minutter i tilfelle en og 52 timer i en annen. Dette er mer enn tilstrekkelig for å anse TKIP ikke lenger sikkert.

WPA, eller TKIP, har siden blitt avviklet også. Så la oss heller ikke gjøre det lenger.

Som bringer oss til ...

Wi-Fi Protected Access II (WPA2)

WPA2 illustrasjon

I stedet for å bruke innsatsen for å komme med et helt nytt navn, fokuserer den forbedrede Wi-Fi Protected Access II (WPA2) -standarden i stedet på å bruke en ny underliggende kryptering.

I stedet for RC4-strømkryptering bruker WPA2 en blokkryptering kalt Advanced Encryption Standard (AES) for å danne grunnlaget for krypteringsprotokollen.

Protokollen i seg selv, forkortet CCMP, trekker mesteparten av sikkerheten fra lengden på det ganske lange navnet (jeg tuller): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, som forkorter til Counter Mode CBC-MAC Protocol, eller CCM-modus Protokoll eller CCMP. ?

CCM-modus er egentlig en kombinasjon av noen få gode ideer. Det gir datakonfidensialitet gjennom CTR-modus eller motmodus. For å overforenkle kraftig, legger dette til kompleksitet i klartekstdata ved å kryptere de suksessive verdiene til en tellesekvens som ikke gjentas.

CCM integrerer også CBC-MAC, en blokk krypteringsmetode for å konstruere en MAC.

AES selv er på god fot. AES-spesifikasjonen ble etablert i 2001 av US National Institute of Standards and Technology (NIST). De tok sitt valg etter en fem-årig konkurransedyktig utvelgelsesprosess der femten forslag til algoritmedesign ble evaluert.

Som et resultat av denne prosessen ble det valgt en familie av chifre kalt Rijndael (nederlandsk), og en delmengde av disse ble AES.

I det meste av to tiår har AES blitt brukt til å beskytte internettrafikk hver dag, samt visse nivåer av klassifisert informasjon i den amerikanske regjeringen.

Mens mulige angrep på AES er beskrevet, har ingen ennå vist seg å være praktiske i bruk i den virkelige verden. Det raskeste angrepet på AES i offentlig kunnskap er et nøkkelgjenopprettingsangrep som forbedret den brutale tvingende AES med en faktor på omtrent fire. Hvor lang tid vil det ta? Noen milliarder år.

Wi-Fi Protected Access III (WPA3)

WPA3 illustrasjon

Den neste delen av WPA-trilogien har vært påkrevd for nye enheter siden 1. juli 2020. WPA3-standarden forventes å ytterligere forbedre sikkerheten til WPA2, og søker å forbedre passordsikkerheten ved å være mer motstandsdyktig mot ordlister eller ordbokangrep.

I motsetning til sine forgjengere, vil WPA3 også tilby fremad hemmelighold. Dette gir den store fordelen med å beskytte tidligere utvekslet informasjon, selv om en langsiktig hemmelig nøkkel er kompromittert.

Fremoverhemmelighet er allerede levert av protokoller som TLS ved å bruke asymmetriske nøkler for å etablere delte nøkler. Du kan lære mer om TLS i dette innlegget.

Siden WPA2 ikke er utfaset, forblir både WPA2 og WPA3 de beste valgene for Wi-Fi-sikkerhet.

Hvis de andre ikke er gode, hvorfor er de fortsatt rundt?

Du lurer kanskje på hvorfor tilgangspunktet ditt til og med lar deg velge et annet alternativ enn WPA2 eller WPA3. Den sannsynlige grunnen er at du bruker eldre maskinvare, det er det tekniske folk kaller morens router.

Siden avskaffelsen av WEP og WPA skjedde ganske nylig, er det mulig i store organisasjoner så vel som foreldrenes hus å finne eldre maskinvare som fremdeles bruker disse protokollene. Enda nyere maskinvare kan ha et forretningsbehov for å støtte disse eldre protokollene.

Selv om jeg kanskje kan overbevise deg om å investere i et skinnende nytt toppmoderne Wi-Fi-apparat, er de fleste organisasjoner en annen historie. Dessverre er det mange som ennå ikke er klar over den viktige rollen cybersikkerhet spiller for å møte kundenes behov og øke den bunnlinjen.

I tillegg kan bytte til nyere protokoller kreve ny intern maskinvare eller fastvareoppgraderinger. Spesielt på komplekse systemer i store organisasjoner kan oppgradering av enheter være økonomisk eller strategisk vanskelig.

Øk Wi-Fi-sikkerheten din

Hvis det er et alternativ, velger du WPA2 eller WPA3. Cybersikkerhet er et felt som utvikler seg om dagen, og å bli sittende fast i fortiden kan ha alvorlige konsekvenser.

Hvis du ikke kan bruke WPA2 eller WPA3, gjør du så godt du kan for å ta ytterligere sikkerhetstiltak.

Det beste for pengene er å bruke et VPN (Virtual Private Network). Å bruke en VPN er en god ide uansett hvilken type Wi-Fi-kryptering du har. På åpent Wi-Fi (kaffebarer) og ved bruk av WEP er det klart uansvarlig å gå uten VPN.

Det er som å rope ut bankopplysningene dine når du bestiller din andre cappuccino.

En tegneserie som roper ut bankopplysningene dine på en kaffebar.

Velg en VPN-leverandør som tilbyr en funksjon som en kill-switch som blokkerer nettverkstrafikken din hvis VPN-en din kobles fra. Dette forhindrer at du ved et uhell overfører informasjon på en usikker forbindelse som åpen Wi-Fi eller WEP. Jeg skrev mer om mine tre beste hensyn til valg av VPN i dette innlegget.

Når det er mulig, må du bare koble til kjente nettverk som du eller organisasjonen din kontrollerer.

Mange cybersikkerhetsangrep utføres når ofre kobler seg til et imitert offentlig Wi-Fi-tilgangspunkt, også kalt et ondt tvillingangrep, eller Wi-Fi-phishing.

Disse falske hotspots opprettes enkelt ved hjelp av offentlig tilgjengelige programmer og verktøy. En VPN kan også bidra til å redusere skader fra disse angrepene, men det er alltid bedre å ikke ta risikoen.

Hvis du reiser ofte, bør du vurdere å kjøpe et bærbart hotspot som bruker en mobil dataplan, eller bruke data-SIM-kort for alle enhetene dine.

Mye mer enn bare akronymer

WEP, WPA, WPA2 og WPA3 betyr mye mer enn en haug med lignende bokstaver - i noen tilfeller er det en forskjell på milliarder år minus omtrent 60 sekunder.

På mer av en nå-tidsskala, håper jeg at jeg har lært deg noe nytt om sikkerheten til Wi-Fi og hvordan du kan forbedre det!

Hvis du likte dette innlegget, vil jeg gjerne vite det. Bli med de tusenvis av mennesker som lærer sammen med meg på victoria.dev! Besøk eller abonner via RSS for mer programmering, cybersikkerhet og tegneseriefarvitser.