WPA-nøgle, WPA2, WPA3 og WEP-nøgle: Wi-Fi-sikkerhed forklaret

Opsætter du nyt Wi-Fi? At vælge den type adgangskode, du har brug for, kan virke som et vilkårligt valg. Når alt kommer til alt har WEP, WPA, WPA2 og WPA3 for det meste de samme bogstaver i sig.

En adgangskode er en adgangskode, så hvad er forskellen? Cirka 60 sekunder til milliarder år, som det viser sig.

Al Wi-Fi-kryptering oprettes ikke ens. Lad os undersøge, hvad der gør disse fire akronymer så forskellige, og hvordan du bedst kan beskytte dit hjem og din organisations Wi-Fi.

Wired Equivalent Privacy (WEP)

I starten var der WEP.

WEP-illustration

Wired Equivalent Privacy er en forældet sikkerhedsalgoritme fra 1997, der var beregnet til at give ækvivalent sikkerhed til en kabelforbindelse. "Forældet" betyder, "Lad os ikke gøre det mere."

Selv da den først blev introduceret, vidste den ikke at være så stærk som den kunne have været af to grunde:

  • dens underliggende krypteringsmekanisme, og
  • Anden Verdenskrig.

Under Anden Verdenskrig var virkningen af ​​kodebrydning (eller kryptanalyse) enorm. Regeringerne reagerede ved at forsøge at holde deres bedste hemmelige sauce opskrifter derhjemme.

Omkring tidspunktet for WEP forårsagede de amerikanske regerings begrænsninger for eksport af kryptografisk teknologi producenter af adgangspunkter til at begrænse deres enheder til 64-bit kryptering. Selvom dette senere blev løftet til 128-bit, tilbød selv denne form for kryptering en meget begrænset mulig nøglestørrelse.

Dette viste sig at være problematisk for WEP. Den lille nøglestørrelse resulterede i, at det var lettere at brute-force, især når nøglen ikke ofte ændres.

WEPs underliggende krypteringsmekanisme er RC4 stream cipher. Denne kryptering blev populær på grund af sin hastighed og enkelhed, men det kostede en pris.

Det er ikke den mest robuste algoritme. WEP anvender en enkelt delt nøgle blandt sine brugere, der skal indtastes manuelt på en adgangspunktenhed. (Hvornår har du sidste gang ændret din Wi-Fi-adgangskode? Højre.)

WEP hjalp heller ikke tingene ved blot at sammenkæde nøglen med initialiseringsvektoren - det vil sige, at den slags mosede sine hemmelige saucebiter sammen og håbede på det bedste.

Initialiseringsvektor (IV): input i fast størrelse til en kryptografisk algoritme på lavt niveau, normalt tilfældig.

Kombineret med brugen af ​​RC4 efterlod dette WEP særlig modtageligt for angreb på relateret nøgle. I tilfælde af 128-bit WEP kan din Wi-Fi-adgangskode knækkes af offentligt tilgængelige værktøjer i løbet af ca. 60 sekunder til tre minutter.

Mens nogle enheder kom til at tilbyde 152-bit eller 256-bit WEP-varianter, kunne dette ikke løse de grundlæggende problemer med WEPs underliggende krypteringsmekanisme.

Så ja. Lad os ikke gøre det længere.

Wi-Fi-beskyttet adgang (WPA)

WPA illustration

En ny, midlertidig standard forsøgte midlertidigt at "patch" problemet med WEP's (manglende) sikkerhed. Navnet Wi-Fi Protected Access (WPA) lyder bestemt mere sikkert, så det er en god start. WPA startede dog først med et andet, mere beskrivende navn.

Ratificeret i en 2004 IEEE-standard bruger Temporal Key Integrity Protocol (TKIP) en dynamisk-genereret, per-pakke nøgle. Hver pakke, der sendes, har en unik, tidsmæssig 128-bit nøgle (se? Beskrivende!), Der løser modtageligheden for angreb med relateret nøgle, der er forårsaget af WEP's delte nøglemashing.

TKIP implementerer også andre foranstaltninger, såsom en meddelelsesgodkendelseskode (MAC). Nogle gange kendt som et kontrolsum, giver en MAC en kryptografisk måde at kontrollere, at meddelelser ikke er blevet ændret.

I TKIP kan en ugyldig MAC også udløse genindlæsning af sessionsnøglen. Hvis adgangspunktet modtager en ugyldig MAC to gange inden for et minut, kan forsøg på indtrængen modvirkes ved at ændre den nøgle, som en angriber prøver at knække.

Desværre bevarede TKIP brugen af ​​den samme underliggende krypteringsmekanisme som WEP - RC4 stream cipher for at bevare kompatibilitet med den eksisterende hardware, som WPA var beregnet til at "patch".

Mens det bestemt forbedrede svaghederne ved WEP, viste TKIP sig til sidst sårbar over for nye angreb, der udvidede tidligere angreb på WEP.

Disse angreb tager lidt længere tid at udføre ved sammenligning: for eksempel tolv minutter i tilfælde af en og 52 timer i en anden. Dette er dog mere end tilstrækkeligt til at betragte TKIP ikke længere som sikker.

WPA, eller TKIP, er siden da også udfaset. Så lad os heller ikke gøre det længere.

Hvilket bringer os til ...

Wi-Fi Protected Access II (WPA2)

WPA2 illustration

I stedet for at bruge en indsats for at komme med et helt nyt navn, fokuserer den forbedrede Wi-Fi Protected Access II (WPA2) -standard i stedet for at bruge en ny underliggende chiffer.

I stedet for RC4-streamkryptering anvender WPA2 en blokciffer kaldet Advanced Encryption Standard (AES) til at danne grundlaget for sin krypteringsprotokol.

Protokollen i sig selv, forkortet CCMP, trækker det meste af dens sikkerhed ud fra længden af ​​dens ret lange navn (jeg griner): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, som forkorter til Counter Mode CBC-MAC Protocol eller CCM mode Protokol eller CCMP. ?

CCM-tilstand er i det væsentlige en kombination af et par gode ideer. Det giver datafortrolighed gennem CTR-tilstand eller modtilstand. For meget forenklet tilføjer dette kompleksitet til almindelig tekstdata ved at kryptere de på hinanden følgende værdier for en tællesekvens, der ikke gentages.

CCM integrerer også CBC-MAC, en blokciffermetode til konstruktion af en MAC.

AES selv er på god fod. AES-specifikationen blev etableret i 2001 af US National Institute of Standards and Technology (NIST). De foretog deres valg efter en fem-årig konkurrencepræget udvælgelsesproces, hvor femten forslag til algoritmedesign blev evalueret.

Som et resultat af denne proces blev en familie af cifre kaldet Rijndael (hollandsk) valgt, og en delmængde af disse blev AES.

I den bedre del af to årtier er AES blevet brugt til at beskytte hverdags internettrafik samt visse niveauer af klassificerede oplysninger i den amerikanske regering.

Mens mulige angreb på AES er blevet beskrevet, har ingen endnu vist sig at være praktiske i den virkelige verden. Det hurtigste angreb på AES i offentlighedens kendskab er et nøglegendannelsesangreb, der forbedrede brute-tvinger AES med en faktor på omkring fire. Hvor lang tid tager det? Nogle milliarder af år.

Wi-Fi Protected Access III (WPA3)

WPA3 illustration

Den næste del af WPA-trilogien er påkrævet for nye enheder siden 1. juli 2020. WPA3-standarden forventes at forbedre sikkerheden i WPA2 yderligere og søger at forbedre adgangskodesikkerheden ved at være mere modstandsdygtig over for ordlister eller ordbogangreb.

I modsætning til sine forgængere vil WPA3 også tilbyde fremadrettet hemmeligholdelse. Dette tilføjer den betydelige fordel ved at beskytte tidligere udvekslede oplysninger, selvom en langsigtet hemmelig nøgle er kompromitteret.

Fremad hemmeligholdelse er allerede leveret af protokoller som TLS ved hjælp af asymmetriske nøgler til at etablere delte nøgler. Du kan lære mere om TLS i dette indlæg.

Da WPA2 ikke er udfaset, forbliver både WPA2 og WPA3 dine bedste valg til Wi-Fi-sikkerhed.

Hvis de andre ikke er gode, hvorfor er de stadig rundt?

Du undrer dig måske over, hvorfor dit adgangspunkt endda giver dig mulighed for at vælge en anden mulighed end WPA2 eller WPA3. Den sandsynlige årsag er, at du bruger ældre hardware, hvilket er det, teknikere kalder din mors router.

Da afskaffelsen af ​​WEP og WPA fandt sted for ganske nylig, er det muligt i store organisationer såvel som din forældres hus at finde ældre hardware, der stadig bruger disse protokoller. Endnu nyere hardware kan have et forretningsbehov for at understøtte disse ældre protokoller.

Selvom jeg muligvis kan overbevise dig om at investere i et skinnende nyt top-of-the-line Wi-Fi-apparat, er de fleste organisationer en anden historie. Desværre er mange bare endnu ikke opmærksomme på den vigtige rolle, cybersikkerhed spiller for at imødekomme kundernes behov og øge bundlinjen.

Derudover kan skift til nyere protokoller muligvis kræve ny intern hardware eller firmwareopgraderinger. Især på komplekse systemer i store organisationer kan opgradering af enheder være økonomisk eller strategisk vanskelig.

Øg din Wi-Fi-sikkerhed

Hvis det er en mulighed, skal du vælge WPA2 eller WPA3. Cybersikkerhed er et felt, der udvikler sig dag for dag, og at sidde fast i fortiden kan have alvorlige konsekvenser.

Hvis du ikke kan bruge WPA2 eller WPA3, skal du gøre det bedste du kan for at træffe yderligere sikkerhedsforanstaltninger.

Det bedste for pengene er at bruge et Virtual Private Network (VPN). Brug af en VPN er en god idé, uanset hvilken type Wi-Fi-kryptering du har. På åben Wi-Fi (kaffebarer) og brug af WEP er det almindeligt uansvarligt at gå uden en VPN.

Det er som at råbe dine bankoplysninger, når du bestiller din anden cappuccino.

En tegneserie, der råber dine bankoplysninger ud på en coffeeshop.

Vælg en VPN-udbyder, der tilbyder en funktion som en kill switch, der blokerer din netværkstrafik, hvis din VPN afbrydes. Dette forhindrer dig i at utilsigtet overføre oplysninger om en usikker forbindelse som åben Wi-Fi eller WEP. Jeg skrev mere om mine top tre overvejelser for valg af min VPN i dette indlæg.

Når det er muligt, skal du sikre dig, at du kun opretter forbindelse til kendte netværk, som du eller din organisation kontrollerer.

Mange cybersikkerhedsangreb udføres, når ofre opretter forbindelse til et imiteret offentligt Wi-Fi-adgangspunkt, også kaldet et ondt tvillingangreb eller Wi-Fi-phishing.

Disse falske hotspots oprettes let ved hjælp af offentligt tilgængelige programmer og værktøjer. En VPN kan også hjælpe med at afbøde skader fra disse angreb, men det er altid bedre ikke at tage risikoen.

Hvis du rejser ofte, kan du overveje at købe et bærbart hotspot, der bruger en mobildataplan eller bruge data-SIM-kort til alle dine enheder.

Meget mere end bare akronymer

WEP, WPA, WPA2 og WPA3 betyder meget mere end en masse lignende bogstaver - i nogle tilfælde er det en forskel på milliarder år minus cirka 60 sekunder.

På mere af en nu-tidsplan, håber jeg, at jeg har lært dig noget nyt om sikkerheden af ​​din Wi-Fi, og hvordan du kan forbedre det!

Hvis du nød dette indlæg, ville jeg meget gerne vide det. Deltag i de tusinder af mennesker, der lærer sammen med mig på victoria.dev! Besøg eller abonner via RSS for mere programmering, cybersikkerhed og tegneserie farvittigheder.