WPA3: Mehr Sicherheit im WLAN

WPA 3 ist da, doch welche Vorteile bietet die neue WLAN-Verschlüsselung im Vergleich zu WPA2? Das und noch mehr klären wir in diesem Artikel.

 

In der WLAN-Welt steht eine große Neuerung bevor, die den Einsatz von drahtlosen Netzwerken noch einmal deutlich sicherer machen soll. Die Rede ist von dem neuen WPA3 Sicherheitsverfahren. Wir erklären Ihnen, was Sie über WPA3 wissen müssen.

 

Ein kurzer Überblick zu WPA

 

Die drei Buchstaben „WPA“ stehen für den englischen Begriff Wi-Fi Protected Access und beschreiben ein Sicherheitsverfahren für drahtlose Netzwerke. Umgangssprachlich wird WPA auch gerne als „Verschlüsselung“ bezeichnet.

 

Zurzeit verwenden fast alle Geräte den WPA2 Standard, um ihre Verbindungen über WLAN abzusichern. WPA2 ist dabei seit 2006 für Ger äte verpflichtend, die die Wi-Fi-Zertifizierung tragen.

 

Seite 2018 steht das neue WPA3 Verfahren bereits zur Verfügung, welches nun langsam, aber sicher Fahrt aufnimmt und durch erste kompatible Geräte verwendet wird.

 

Das Ziel von WPA3 ist schnell beschrieben: Drahtlose Netzwerke – ob zu Hause, im Büro oder öffentlichen Orten – sollen in Zukunft noch sicherer werden. Dabei wurde auch an die steigende Anzahl von WLAN-Geräten im Smart Home und IoT-Bereich (Internet of Things) gedacht, die zukünftig auch alle per WiFi mit dem Internet verbunden werden möchten.

Wieso ist WPA3 so wichtig?

 

Mit der neuen WPA3 Generation hält ein vollständig neues Sicherheitskonzept Einzug, was den so genannten Schlüsselaustausch angeht.

 

Bei diesem Vorgang stimmen Access Point (AP) / Router und der WLAN-Client (z.B. ein Smartphone) den gemeinsamen Sicherheitsschlüssen ab, der für die Verschlüsselung der zukünftigen Kommunikation verwendet wird. Wer diesen Schlüssel kennt, der kann Teile oder sogar die gesamte Verbindung abhören.

 

WPA2 macht es potenziellen Angreifern hier noch zu leicht: Der so genannte „Masterkey“, der für die Verschlüsselung verwendet wird, wird bei WPA2 aus dem WLAN-Passwort und dem Namen des WLANs (SSID) erzeugt. Ein Angreifer kennt also von Anfang an bereits die Hälfte der Zutaten, da der WLAN-Name öffentlich ist.

 

Um das WLAN-Passwort zu erraten, können Brute-Force-Attacken genutzt werden. Darunter versteht man das Ausprobieren wahlloser Zeichenkombinationen oder das automatisierte Abarbeiten von Passwortlisten. WPA2 hält Angreifer nicht aktiv von solchen Angriffen ab.

 

Aus dem Masterkey leitet WPA2 die Sicherheitsschlüssel für die einzelnen Verbindungen (auch Sessions genannt) ab. Kurz und knapp bedeutet dies: Wer den Masterkey kennt, kann nicht nur alle vergangenen Verbindungen auslesen, sondern ist auch in der Lage alle noch anstehenden Kommunikationen zu entschlüsseln. Ein echter Nachteil.

Zero Knowledge Proof macht es Angreifern schwer

 

WPA3 geht hier einen neuen Weg und setzt auf eine Technologie namens Simultaneous Authentication of Equals (SAE). Es handelt sich um ein neues Verfahren zum Austausch des Geheimschlüssels, dass auf einen so genannten Zero Knowledge Proof („Nachweis ohne externes Wissen“) setzt.

 

Damit lässt sich das eingegebene WLAN-Kennwort von jedem Gerät selbstständig auf Gültigkeit überprüfen, ohne dass Access Point und Client Teile des Passwortes unsicher miteinander austauschen müssen. Angreifer haben so also weniger Angriffsfläche. Brute Force Attacken machen hier keinen Sinn mehr.

 

Außerdem wird mit diesem Verfahren die so genannte „Forward Secrecy“ (zukünftige Geheimhaltung) eingeführt. WPA3 verschlüsselt nämliche jede Session zwischen AP und WLAN-Client mit einem neuen Schlüssel. Sollte also eine Session kompromittiert werden, wird in der nächsten Session ein neuer Schlüssel verwendet. Der Angreifer kann also nur die Daten der einen Session einsehen und ist in der Zukunft wieder ausgesperrt.

 

Letztendlich werden mit WPA3 so auch potenziell unsichere Passwörter für das eigene WLAN deutlich sicherer, da die Möglichkeit von Brute Force Attacken nahezu wegfällt.

Mehr Sicherheit in Hotels und Cafés

 

Wer heute einen öffentlichen Hotspot nutzt, der nicht nach einem WLAN-Passwort verlangt, ist sich in der Regel darüber bewusst, dass alle Daten der Verbindung einfach mitgelesen werden können. Das ist ein großer Nachteil und stellt öffentlichen Netzwerken eine miserable Sicherheitsbilanz aus.

 

WPA3 erhöht auch in diesem Szenario die Sicherheit stark. Während WPA2 einen gemeinsamen Schlüssel für alle Clients im Netzwerk verwendet, setzt WPA auf ein Verfahren namens „Wi-Fi Enhanced Open“.

 

Dabei handelt es sich um eine so genannte Opportunistic Wireless Encryption, die mit jedem neuen Teilnehmer im öffentlichen Netzwerk einen eigenen Geheimschlüssel aushandelt. So können nicht mehr einfach alle anderen Clients im selben WLAN den gesamten Datenverkehr zwischen Ihrem Gerät und dem Router auslesen, so wie es derzeit bei WPA2 der Fall ist.

WPA3 macht also das WLAN-Surfen am Bahnhof, im Hotel oder im Café in Zukunft deutlich sicherer.

Welche Geräte können mit WPA3 umgehen?

 

Auch wenn WPA3 schon 2018 veröffentlicht wurde, steigt die Verbreitung kompatibler Geräte erst langsam an.

 

Letztendlich handelt es sich bei WPA3 um ein Update der Sicherheitssoftware. Viele bestehende Geräte könnten also theoretisch aktualisiert werden. Es ist aber wahrscheinlicher, dass die Hersteller eher neue Modelle mit WPA3-Support auf den Markt bringen werden.

 

Google und Apple unterstützen WPA3 im Übrigen schon seit Android 10 bzw. iOS 13. Wer also schon einen WPA3 Access Point betreibt, kommt bereits heute in den Genuss der neuen WPA-Version auf Smartphone oder Tablet.

 

WPA3 bietet außerdem einen neuen Modus namens „Wi-Fi Easy Connect“, der das Anbinden von IoT- und Smart Home-Geräten ohne Display erleichtern soll. Dazu verwendet WPA3 das Scannen von QR-Codes, um die WiFi-Verbindung herzustellen und abzusichern.

 

Übrigens: Wer nicht sofort sein ganzes Heimnetzwerk mit WPA3-fähigen Endgeräten umstellen will oder kann, braucht keine Angst habe. Es gibt mit dem Transition Modus eine Möglichkeit, WPA2 und WPA3 parallel zu verwenden. Langfristig sollte es jedoch das Ziel sein ein reines WPA3 Netzwerk zu betreiben, um keine unnötigen Einfallstore zu bieten.