Il nuovo standard per la sicurezza Wi-Fi WPA3 affronta alcuni dei limiti di WPA2 per garantire una maggiore sicurezza alle reti wireless domestiche, aziendali e IoT.
WPA3 è il più importante aggiornamento per la sicurezza introdotto dalla Wi-Fi Alliance negli ultimi quattordici anni. Le principali aggiunte apportate da questo nuovo protocollo sono: una maggiore protezione (anche per le reti che usano password semplici), la crittografia individualizzata per le reti domestiche e per quelle aperte, e una crittografia più sicura per le reti aziendali.
Lo standard Wi-Fi Protected Access (WPA) è stato rilasciato nel 2003 per rimpiazzare lo WEP, e la sua seconda versione è stata lanciata l’anno dopo. La terza versione di WPA è un aggiornamento molto atteso che avvantaggerà l’industria del Wi-Fi, le imprese, e anche milioni di utenti “normali”, la maggior parte dei quali ancora non sa della sua esistenza.
Lo standard WPA3 è stato annunciato a Gennaio 2018 ed è stato ufficializzato a Giugno dello stesso anno quando la Wi-Fi Alliance ha lanciato i programmi di certificazione per WPA3-Personal, che offre una crittografia più individualizzata, e WPA3-Enterprise, che invece potenzia la sicurezza della crittografia su quelle reti che trasmettono dati sensibili. Nella stessa occasione la Wi-Fi Alliance ha presentato anche Wi-Fi Easy Connect, una funzione che dovrebbe semplificare il pairing dei dispositivi Wi-Fi senza display (come i dispositivi IoT) e Wi-Fi Enhanced Open, una funzione opzionale per una crittografia più sicura sulle reti Wi-Fi aperte.
I limiti di WPA2
Il protocollo WPA2 con “Advanced Encryption Standard” (AES) ha ovviato ad alcune falle nella sicurezza di WPA, che invece usava il protocollo di crittografia “Temporal Key Integrity Protocol” (TKIP). WPA2 era considerato molto più sicuro dell’ormai obsoleto protocollo WEP. Nonostante questo, negli ultimi dieci anni anche WPA2 ha rivelato delle vulnerabilità piuttosto gravi.
La possibilità di craccare la password di una rete WPA2-Personal con il metodo “a forza bruta”, cioè provando ad usare diverse combinazioni di caratteri finché non si individua quella giusta, è una delle più gravi falle nella sicurezza di questo standard. A peggiorare le cose c’è anche il fatto che, una volta captati i dati giusti dalle onde radio, gli hacker che usano questo metodo potrebbero provare ad individuare la password di una rete anche a distanza. Eseguito con successo il crack della password, gli hacker sono perfino in grado di decrittare tutti i dati che hanno intercettato da quella rete, sia prima che dopo essere riusciti ad individuarne la password.
Più complessa è la password WPA2-Personal di una rete, più complicato sarà craccarla. Quindi, se la password che protegge una rete è piuttosto semplice (come in effetti succede nella maggior parte dei casi), individuarla sarà altrettanto facile.
Un’altra grave falla di WPA2-Personal, specialmente per quel che riguarda le reti aziendali, è il fatto che un utente che dispone della password della rete possa fare snooping, cioè ficcare il naso nel traffico di un altro utente e attaccarlo in vari modi. Anche se la modalità Enterprise di WPA/WPA2 offre una protezione contro questo genere di minacce, per poterla usare è necessario disporre di un server RADIUS o di un servizio Cloud.
La più grave carenza del Wi-Fi è sempre stata l’assenza di sistemi integrati per la sicurezza, la crittografia e la privacy sulle reti aperte. Chiunque disponga degli strumenti adatti, infatti, potrebbe ficcare il naso nel traffico degli utenti che stanno usando la rete di un bar, un hotel o di altre aree pubbliche. Queste infiltrazioni possono essere sia passive (vedere quali siti hai visitato, oppure acquisire le credenziali di accesso non protette della tua email) che attive (come succede con il dirottamento della sessione, con il quale gli hacker possono impossessarsi delle credenziali di accesso delle loro vittime).
WPA3-Personal offre una crittografia individualizzata più sicura.
Grazie al nuovo metodo di autenticazione “Simultaneous Authentication of Equals” (SAE), che ha rimpiazzato il “Pre-Shared Key” (PSK) usato dalle versioni precedenti, WPA3 include dei miglioramenti alla crittografia Wi-Fi generale. Quindi, craccare a distanza e con un attacco a forza bruta le reti WPA3-Personal protette da una password non troppo complessa non sarà facile come lo era con WPA/WPA2. Naturalmente, ci sarà comunque la possibilità che un utente esterno riesca ad individuare una password troppo facile mentre prova a connettersi direttamente ad una Wi-Fi.
Con WPA3-Personal la crittografia è più individualizzata. L’utente di una rete di questo tipo non potrà accedere al traffico degli altri utenti della stessa rete anche se vi è connesso e dispone della password. Se un estraneo dovesse riuscire ad individuare la password, inoltre, non gli sarà possibile osservare lo scambio di dati e individuare le chiavi di sessione. Infine, gli hacker non saranno più in grado di decrittare i dati che hanno intercettato prima di riuscire a craccare la password di una rete.
Wi-Fi Easy Connect è una funzione opzionale annunciata di recente che potrebbe rimpiazzare oppure affiancare la tecnologia “Wi-Fi Protected Setup” (WPS) degli standard WPA/WPA2. Wi-Fi Easy Connect è stata ideata per connettere più facilmente ad una rete Wi-Fi i dispositivi IoT privi di display. Un dispositivo Wi-Fi Easy Connect potrebbe essere dotato di un pulsante apposito (come accadeva con lo standard WPS), oppure di un codice QR da scannerizzare con il proprio smartphone.
WPA3-Enterprise è rivolto alle Wi-Fi di grandi dimensioni.
Per una protezione ancora migliore, WPA3-Enterprise offre anche una crittografia opzionale a 192-bit. Questa possibilità potrebbe tornare molto utile agli enti governativi, alle grandi aziende e a tutti quegli ambienti che hanno a che fare con dati sensibili. A seconda di come è stato implementato il server RADIUS, per usare la modalità di sicurezza a 192-bit di WPA3-Enterprise potrebbe essere necessario aggiornare la componente EAP del server.
Wi-Fi Enhanced Open offre una crittografia per le reti pubbliche
Uno dei più grandi miglioramenti frutto del lavoro della Wi-Fi Alliance è lo standard Wi-Fi Enhanced Open, che è rivolto alle reti pubbliche (ossia a quelle reti che non sono protette da password) e che fa sì che ogni connessione Wi-Fi tra i vari client e l’access point venga crittografata individualmente con una propria chiave, seguendo lo standard “Opportunistic Wireless Encryption” (OWE). Per garantire la sicurezza del traffico di gestione fra l’access point e i vari utenti, Wi-Fi Enhanced Open si avvale anche dei “Protected Management Frames” .
Wi-Fi Enhanced Open impedirà che un utente di una rete pubblica possa ficcare il naso nel traffico degli altri utenti, o che gli hacker possano portare a termine attacchi di altro tipo, come per esempio il dirottamento di sessione. Tutto questo avverrà dietro le quinte: gli utenti, infatti, non dovranno fare altro che connettersi alla rete come hanno sempre fatto.
Anche se Enhanced Open non fa propriamente parte di WPA3, verrà introdotto ufficialmente nello stesso periodo. È una funzione opzionale che i produttori potranno decidere di includere nei propri prodotti. Anche il supporto per le vecchie connessioni non crittografate sarà opzionale. C’è quindi la possibilità che in futuro i produttori di access point e router possano obbligare gli utenti ad usare Wi-Fi Enhanced Open (o tenerlo attivato di default), se WPA3 non è in uso.
L’adozione di WPA3 potrebbe richiedere degli anni
La diffusione dello standard WPA3 non sarà immediata. I primi dispositivi Wi-Fi compatibili con WPA3 sono stati introdotti già dalla fine del 2018, ma il supporto WPA3 è ancora una caratteristica opzionale, e non è obbligatoria per per ottenere le certificazioni della Wi-Fi Alliance. Alcuni venditori potrebbero rilasciare degli aggiornamenti software per fornire il supporto WPA3 a dei prodotti già in commercio, ma non c’è nessuna garanzia che questo avvenga davvero. È anche importante notare che alcune delle funzionalità di WPA3 potrebbero richiedere dei miglioramenti dell’hardware dei prodotti.
Le aziende e gli utenti potrebbero aspettare diversi anni per eseguire l’upgrade.
Anche se un utente dovesse acquistare un laptop o uno smartphone che supportano WPA3, bisogna tenere a mente che per poter sfruttare i vantaggi dello standard, anche le reti che l’utente usa per navigare su internet dovrebbero supportarlo. Il dispositivo WPA3, invece, sarà retrocompatibile con le reti WPA2.
A casa propria, un utente ha il controllo della rete che usa e può scegliere di passare ad un router e a dei dispositivi WPA3. I costi richiesti dalle reti più grandi, d’altro canto, potrebbero rallentare il processo di adozione di WPA3 da parte delle imprese. Lo stesso discorso vale anche per le reti pubbliche più piccole, visto che una rete Wi-Fi è un extra che di norma non genera profitti. Gli utenti attenti alla sicurezza che usano sempre una VPN quando si connettono ad una rete pubblica saranno costretti ad usare questo metodo ancora per qualche anno, probabilmente.
WPA3-Personal offre una modalità di transizione che consente una migrazione graduale al nuovo standard, e permette ai dispositivi WPA2-Personal di continuare a connettersi alla rete. Ad ogni modo, si potranno sfruttare a pieno tutti i vantaggi di WPA3-Personal solo quando la rete passerà in modalità WPA3-only. I benefici di cui non si potrà godere durante la transizione da WPA2 a WPA3 e l’impatto che quest’ultima avrà sulla sicurezza della rete sono ancora sconosciuti, e questa potrebbe essere una delle ragioni per le quali la diffusione di WPA3 è ancora limitata, e rimarrà tale finché più utenti finali non cominceranno ad usare questo standard.
I potenziali limiti di Wi-Fi Enhanced Open
Wi-Fi Enhanced Open potrebbe dare ad alcuni utenti un falso senso di sicurezza. È importante capire che anche se gli utenti potranno disporre di una crittografia individualizzata che li proteggerà dalle intrusioni nel proprio traffico, questo non vuol dire che che la sicurezza sia garantita al cento per cento. L’autenticazione degli utenti, infatti, non sarà la stessa di una rete WPA3, e collegandosi ad una rete aperta si sarà sempre più vulnerabili rispetto a quando si usa la propria rete domestica, o quella del lavoro o della scuola, per fare degli esempi.
Mentre si è connessi ad una rete Wi-Fi Enhanced Open, va tenuto a mente che gli altri utenti potrebbero accedere alle risorse condivise presenti sul proprio dispositivo. Wi-Fi Enhanced Open, inoltre, non argina in alcun modo il fenomeno delle reti-esca.
Allo stato attuale la maggior parte dei dispositivi Wi-Fi non indica chiaramente che tipo di sicurezza è attiva su una rete. Questo potrebbe rappresentare un problema per Wi-Fi Enhanced Open, visto che anche gli utenti con un dispositivo compatibile potrebbero avere delle difficoltà a capire se le reti di terze parti, come gli hotspot pubblici, hanno attivato la protezione. I produttori e i sistemi operativi dovranno quindi trovare un modo per mostrare in modo più chiaro le funzioni di sicurezza attive su una rete. Per esempio, ci farebbe piacere che le reti che usano Wi-Fi Enhanced Open venissero segnalate con un avviso simile a quello che appare quando ci si collega ad una rete aperta che non usa alcun sistema di sicurezza.
PCtempo è supportato dai lettori. Se acquistate tramite i link presenti sul nostro sito, potremmo guadagnare qualcosina grazie alle commissioni di affiliazione. Per saperne di più.
Lascia un commento