wpa3 h2e что это
Безопасный Wi-Fi? Что нового в WPA3
В июне 2018-го года объединение крупнейших производителей беспроводных устройств WECA, более известные как Wi-Fi Alliance, представило новый протокол безопасности WPA3. Давайте разберемся, чем новый протокол защиты беспроводной связи Wi-Fi отличается от предыдущих и когда он войдет в наш быт.
Использующийся на данный момент стандарт WPA2 был анонсирован аж 14 лет назад в 2004-м году. В 2006-м уже начал активно внедряться во всевозможную технику, от коммуникаторов до ноутбуков, став обязательным условием для всех сертифицированных устройств с поддержкой Wi-Fi.
Через несколько лет, в 2010-м году, у протокола WPA2 одним из членов хакерского сообщества была выявлена уязвимость известная как Hola196. Забавно, ведь чтобы получить доступ к передаваемым данным, в локальной сети потенциальному злоумышленнику не требовалось использование специальных алгоритмов брутфорса или взлома ключей
При помощи лишь своего закрытого ключа, а также подкованности в вопросах информационной безопасности любой желающий в каком-нибудь кафе мог получить доступ к файлам cookies, перепискам и банковским операциям у всех подключенных устройств. В будущем уязвимость Hola196 была устранена, однако злоумышленники к тому времени уже нашли другие способы в виде вышеупомянутого брутфорса и взлома по словарю. Поэтому решать какие-то важные дела, находясь в сетях общественных точек доступа, по-прежнему не рекомендуется
Недавно в 2017-м бельгийскими исследователями в области безопасности была обнаружена уязвимость KRACK (Key Reinstallation Attack — рус. Атака с переустановкой ключа), которая позволяла злоумышленникам не только перехватывать пакеты данных в соединении, но и внедрять свои. То есть после того, как потенциальный хакер входит в локальную сеть, ему под силу изменять отправляемые сообщения между собеседниками, корректировать номер счета при переводе денежных средств, а также их сумму.
В первую очередь атаке с подменой ключа подвержены Wi-Fi-клиенты, использующие устройства на операционной системе Android 6.0 Marshmallow и Android Wear 2.0. Версии OS X (macOS) 10.9.5 и 10.12 вместе с некоторыми дистрибутивами Linux тоже не защищены от вмешательства хакеров в личное информационное пространство.
Для усиления защиты пользовательских данных, а также повышения качества связи, Альянсом Wi-Fi было разработано третье поколение протокола защиты WPA. Самым главным нововведением стало использование нового метода аутентификации устройств SAE вместо PSK (Pre-Shared Key), использующегося в WPA2.
Вкратце, основным преимуществом SAE над PSK является генерация уникального ключа доступа при каждом новом подключении. То есть злоумышленник, при попытке получить доступ к вашей информации, максимум может получить ваш временный ключ авторизации, который выдал роутер во время подключения к нему. Фишка в том, что использовать полученный ключ для дополнительного подключения к сети под видом жертвы невозможно никаким образом. Ставший уже традицией среди хакеров метод брутфорса и атаки по словарю в WPA3 также пресекли.
Уязвимость KRACK использовала недостаток алгоритма, по которому осуществлялась аутентификация между устройством и точкой доступа. Из-за использующейся в PSK так называемой системы двухстороннего «рукопожатия», по которому между двумя устройствами осуществлялся прием и отправка запроса на соединение, хакеры могли перехватывать пакеты данных для дальнейшей эмуляции процесса подключения на отдельном компьютере и подбора пароля. SAE в WPA3 будет требовать обязательного взаимодействия устройства с точкой доступа при подключении. Благодаря этому, все существующие на данный момент методы оффлайн взлома перестанут быть актуальными
Следующее, чем многих обрадует новый протокол WPA3, это поддержка 192-битного шифрования, специально предназначенного для корпоративных пользователей. Для домашних же пользователей предусмотрено 128-битное шифрование, которого и так хватит с лихвой на то, чтобы не бояться за сохранность своих персональных данных.
Посему шанс поделиться с преступником своими личными данными в каком-нибудь кафе или ресторане будет намного меньше.
Теперь мы знаем, что в ближайшие пару лет нас ждет повышение уровня информационной безопасности. Но как же дела будут обстоять с пропускной способностью и стабильностью раздаваемого сигнала у Wi-Fi-роутеров? Прекрасно! Одним из ключевых новшеств стандарта 802.11ax станет технология Wi-Fi Vantage, дающая возможность пользователям переходить от одной точки доступа к другой без разрыва соединения, где бы они не находились — дома или в торговом центре.
Такие крупные компании, как Google, Apple и Microsoft, на своих ежегодных презентациях посвящают немало времени теме развития умного дома и Интернета вещей. По всему миру, в особенности в нашей стране, лишь единицы могут позволить себе приобретение комплекта для обеспечения своего жилища умными функциями. Но и в 2004-м году дома у нас определенно точно было меньше различной электроники и гаджетов, чем сейчас. Так что разработанная технология Easy Connect позволит соединять с домашней Wi-Fi-сетью умные устройства без надобности ввода пароля.
У каждого из устройств, сертифицированных для использования этой технологии, будет иметься свой уникальный QR-код. Он является по сути эдаким публичным ключем. При его сканировании с помощью своего смартфона можно будет присоединить, например, термостат к точке доступа, к которой был ранее подключен смартфон. Что примечательно, для использования этой функции требуется устройства с поддержкой протокола WPA2 и новее.
А закончить материал про новшества WPA3 я бы хотел упоминанием еще одного нововведения, касающегося безопасности в публичных сетях. Отдельный протокол шифрования данных Enhanced Open поставит палки в колеса правонарушителям, орудующим в местах массового скопления людей, благодаря специальному алгоритму оппортунистического кодирования. Принципы, по которым работает данный тип шифрования, не подразумевают введения некой дополнительной аутентификации. Помимо ввода пароля от Wi-Fi, Enhanced Open будет просто еще одним дополнительным программным алгоритмом засекречивания пакетов данных. Таким образом, в будущем, мы избавимся от бремени прохождения дополнительных шагов регистрации с целью доказать владельцу точки доступа, что вы настоящий пользователь.
Что такое WPA3 и как он делает сети Wi-Fi более безопасными
Потребовалось «всего» 14 лет, чтобы протокол WPA (Wi-Fi Protected Access), предназначенный для защиты сетей Wi-Fi, получил обновление.
Когда клиент подключается к беспроводному устройству (WiFi-маршрутизатору, точке доступа и т.д.), пароль, который требуется для подключения, обычно передаётся с использованием алгоритма WPA2. В 2018 году Wi-Fi Alliance представил WPA3, что открывает возможности по его реализации для производителей беспроводного оборудования связи. WPA и WPA2 появились (первый в 1999 году, а другой – в 2004 году), чтобы преодолеть серьёзные недостатки, которым был подвержен старый алгоритм WEP.
До недавнего времени для адекватной защиты сети Wi-Fi обычно было достаточно использовать WPA2 и достаточно длинного и сложного ключевого слова. И хотя WPA2 предлагает множество улучшений в плане безопасности по сравнению с WPA, он всё ещё страдает от использования слабых паролей. Алгоритм фактически уязвим для атак методом перебора, которые могут быть успешными, когда пользователь использует простые пароли.
Кроме того, всегда рекомендуется не использовать распространенный SSID (идентификатор сети WiFi), поскольку злоумышленники могут использовать предварительно созданные радужные таблицы для ускорения атаки. Атаки, использующие PIN-код WPS на маршрутизаторе Wi-Fi для получения несанкционированного доступа к сети Wi-Fi, очень распространены.
Недавно исследователь Мэти Ванхоф показала, что даже можно прочитать содержимое пакетов данных, которые проходят между защищенными WPA/WPA2 WiFi-маршрутизаторами/точками доступа и клиентскими устройствами, даже не взломав пароль, используемый для защиты беспроводной сети других пользователей. После объявления об обнаружении уязвимости производители WiFi-устройств сразу же побежали выпускать исправления.
Проблема, однако, касается самого стандарта, и обновления для системы безопасности выпущены не для всех устройств, находящихся в обращении. Поэтому переход на новую и более безопасную версию WPA стал необходимостью, и WPA3 стремится окончательно отложить в сторону недостатки предыдущей версии протокола.
WPA3 – что это такое и как работает
Wi-Fi Alliance – некоммерческая ассоциация, образованная некоторыми из основных «крупных» компаний в отрасли (среди наиболее важных имен – Apple, Samsung, Sony, LG, Intel, Dell, Broadcom, Cisco, Qualcomm, Motorola, Microsoft и Texas Instruments), – выпускает сертификаты WPA2 и, теперь, WPA3.
Другими словами, все устройства Wi-Fi, для которых производитель хочет отобразить логотип «Wi-Fi CERTIFIED WPA2» или «Wi-Fi CERTIFIED WPA3», должны строго соответствовать спецификациям, опубликованным альянсом.
Повышенная безопасность при использовании общественных сетей Wi-Fi
В настоящее время при использовании общественных сетей Wi-Fi (например, в аэропортах, отелях, барах и ресторанах, жилых помещениях, общественных местах) их безопасность остаётся «под знаком вопроса».
Сетевой трафик, генерируемый вашим устройством (за исключением зашифрованного трафика, например, передаваемого по HTTPS), после подключения к общедоступной сети Wi-Fi, фактически может быть прочитан третьими лицами, подключенными к тому же маршрутизатору или точке доступа. По этой причине мы всегда рекомендовали использовать VPN в таких ситуациях.
Использование VPN даёт наилучшие гарантии при использовании общедоступного Wi-Fi, управляемого третьими лицами.
Если у вас есть VPN-сервер дома или в офисе (наиболее полные и универсальные маршрутизаторы поддерживают OpenVPN), вы можете установить удаленное зашифрованное соединение или использовать службу VPN.
WPA3 позволяет преодолеть эти проблемы, активируя индивидуальное шифрование данных: каждый раз, когда вы подключаетесь к общедоступному Wi-Fi, весь трафик, передаваемый между отдельным устройством и точкой доступа, будет зашифрован, даже если пароль не запрашивался.
Лучшая защита от атак методом «грубой силы»
Каждый раз, когда устройство подключается к точке доступа Wi-Fi, запускается процедура, называемая рукопожатием, которая позволяет проверить правильность введенного пароля и продолжить согласование соединения.
Процедура рукопожатия оказалась уязвимой для атак методом перебора, хотя исправления, выпущенные различными производителями оборудования, позволяют минимизировать риски.
WPA3 устанавливает новый способ выполнения рукопожатия, надежный и исключающий использование метода «грубой силы». Решение WPA3 настолько надежно, что делает сеть Wi-Fi защищенной, даже если пользователь установит простой пароль.
Мати Ванхоф, автор открытия, связанного с уязвимостями WPA2, с энтузиазмом отнеслась к нововведениям, представленным в WPA3: с помощью этого протокола можно будет поддерживать эффективную защиту и минимизировать риски мониторинга сетевого подключения со стороны третьих лиц.
Более простое и быстрое соединение устройств без дисплея
За последние несколько лет мир сильно изменился, и теперь всё чаще встречаются устройства с интерфейсом Wi-Fi, которые не имеют дисплея. Это, в первую очередь, устройства, принадлежащие миру Интернета вещей (IoT).
Для подключения этих устройств к сети Wi-Fi обычно необходимо установить приложение или подключиться к локальному веб-серверу, установленному на этих устройствах, с помощью другого терминала, подключенного к той же локальной сети.
WPA3 включает функцию, которая призвана упростить процесс настройки каждого устройства Wi-Fi без дисплея.
Высокий уровень безопасности для промышленных приложений
Наконец, WPA3 включает в себя 192-битный пакет безопасности, который сделает использование нового протокола подходящим для всех приложений, где важна конфиденциальность данных.
Настолько, что спецификации, которые будут утверждены, позволят вам активировать защиту военного уровня, которая также может использоваться государственными органами и компаниями для промышленного применения.
Следует отметить, что для каждого WiFi-маршрутизатора с WPA3 должны использоваться беспроводные клиенты, совместимые с WPA3. В противном случае новые функции протокола WPA3 не могут быть использованы.
Хорошей новостью является то, что тот же WPA3-совместимый маршрутизатор также сможет принимать соединения WPA2. Кроме того, даже когда WPA3 будет достаточно широко распространен, следует ожидать довольно продолжительного переходного периода, в течение которого некоторые устройства будут подключаться к маршрутизатору через WPA3, а другие – через WPA2.
Протокол WPA3: новое поколение или плановая модернизация WiFi?
Летом 2018 г. произошло важное событие: организация WiFi Alliance представила новый протокол безопасности WPA3. Он приходит на смену протоколу WPA2, который более 14 лет защищал сети WiFi от взлома. Новый протокол имеет большое значение, так как существующий уже не обеспечивает прежний уровень защиты.
Организация WiFi Alliance, занимающаяся разработкой стандартов для сетей WiFi, называет протокол WPA3 новым поколением защиты WiFi. Действительно, в ней применены новые подходы для более надежной аутентификации и повышения криптографической стойкости. При этом радикально повышен уровень защищенности не только корпоративных сетей WiFi с чувствительными данными, но и открытых сетей, и сетей интернета вещей (IoT).
В то же время, у WPA3 есть особенности, которые необходимо учитывать при плановом переходе к новым сетям, который произойдет в ближайшие два года в процессе массового внедрения стандарта WiFi 6 (802.11ax) и протокола WPA3.
Совместимость протоколов WPA3 и WPA2
Протокол WPA3 сохраняет два режима работы: WPA3-Enterprise для корпоративного использования и WPA3-Personal для остальных случаев. При этом все сети, использующие WPA3, запрещают применение устаревших протоколов и одновременно требуют использование защищенных фреймов управления (PMF). Проще говоря, WPA3 «очищает поле» от менее надежных решений, и в будущем все новые устройства WiFi будут иметь защиту не ниже WPA3.
Однако в ближайшие «переходные» годы совместимость WPA3 и WPA2 сохранится, так как WPA2 по-прежнему является обязательным для всех устройств WiFi. Таким образом, устройства с WPA3 смогут подключаться к сетям с WPA2. Но защита по стандартам WPA3 обеспечивается, только если сеть и устройства поддерживают протокол WPA3.
В дополнение к протоколу WPA3 есть две отдельные функции: Easy Connect для подключения IoT и устройств с ограниченным интерфейсом или вовсе без дисплея, а также Enhanced Open для открытых сетей (аэропорты, рестораны, гостевые зоны и т. д.). Важно иметь в виду, что это отдельные программы сертификации WPA3, и они не включены в структуру протокола WPA3.
Смысл такого разделения в том, чтобы в каждом сценарии использовался наиболее надежный и наименее ресурсоемкий подход к защите данных. При этом разделение уменьшает путаницу. Так, например, пользователи Enhanced Open не проходят строгую аутентификацию по протоколу сети WPA3 и поэтому более уязвимы. Поэтому открытые сети вынесены отдельно, за рамки WPA3.
К Enhanced Open необходимо особое внимание. Будущие маршрутизаторы и точки доступа с WPA3 в большинстве случаев будут иметь опцию Enhanced Open и включать ее в случае, когда WPA3 не используется. Большинство современных устройств не указывают пользователям на тип защиты сети WiFi, поэтому могут возникнуть ошибки при оценке безопасности. Вероятно, в будущем производители оборудования и софта решат эту проблему с помощью соответствующей индикации и оповещений. Надо отметить, что несмотря на меньшую защищенность, Enhanced Open все же не позволяет пользователям открытых сетей перехватывать чужой трафик, сеансы и выполнять другие атаки.
Решение главных проблем
За последнее десятилетие протокол WPA2 был неоднократно взломан и в целом уже недостаточно эффективен для защиты конфиденциальных данных. В частности, WPA2 очень зависим от сложности выбранного пароля, который может быть взломан путем перебора множества вариантов (брутфорса). После получения необходимых данных из сети злоумышленники могут осуществлять подбор пароля оффлайн, оставаясь незамеченными. В корпоративных сетях особенно рискованно использовать режим WPA2-Personal, так как злоумышленники могут получить доступ к отслеживанию сетевого трафика и атаковать пользователей, имеющих доступ к конфиденциальной информации.
Режим WPA2-Enterprise более надежен, но требует правильной настройки сервера RADIUS и соответствующих дополнительных инструментов.
Наиболее уязвим протокол WPA2 для открытых сетей, поскольку у него нет какой-либо встроенной системы шифрования, и существует риск утечки паролей от учетных записей, аккаунтов в интернет-сервисах и т. д.
Протокол WPA3 устраняет эти главные уязвимости WPA2, делая невозможным оффлайн-брутфорс и устраняя зависимость уровня безопасности от сложности пароля к сети WiFi. Однако надо помнить, что по-прежнему будет недопустимо использование легко угадываемых паролей, таких как «admin», «1234» и т. п.
Возможности и технологии
WPA3 использует новый метод аутентификации Simultaneous Authentication of Equals (SAE) вместо старого Pre-Shared Key (PSK). Новый метод одновременной аутентификации SAE не использует предварительный общий ключ PSK. Поэтому нельзя взломать сети с WPA3 простым перебором вариантов пароля в оффлайне, то есть, не привлекая внимания.
Кроме того, и в режиме WPA3-Personal обеспечивается индивидуальное шифрование, что не позволяет пользователям отслеживать чужой трафик, даже при наличии пароля и успешном подключении к сети WiFi.
У WPA3-Enterprise есть дополнительная защита с 192-битным шифрованием, что делает этот режим пригодным для работы с конфиденциальными данными коммерческих и государственных организаций.
Недавно для WPA3 была анонсирована новая функция WiFi Easy Connect для подключения простых устройств, таких как датчики IoT, носимая электроника и устройства без дисплея. Вероятно, в большинстве случаев подключение будет реализовано с помощью кнопки, как у современной функции WPS. Также возможно применение дополнительных методов, например сканирования QR-кодов, и другие взаимодействия со смартфоном.
Пример этапов подключения с помощью Easy Connect
С помощью WiFi Easy Connect можно запустить новые сервисы и с минимумом усилий организовать крупные сети WiFi.
Подготовка к внедрению WPA3
Массовое внедрение протокола WPA3 произойдет в течение нескольких лет, поскольку в ближайшие два года устройства не обязательно должны быть сертифицированы для WPA3, по правилам WiFi Alliance. В этот период новый протокол будет дополнительной функцией в устройствах с поддержкой WPA2.
Скорее всего, в ближайшее время получат обновления ведущие решения для настройки и мониторинга безопасности сетей WiFi. В частности, профессиональное программное обеспечение NETSCOUT AirMagnet WiFi Analyzer для наблюдения за устройствами в сети, а также NETSCOUT AirMagnet Enterprise для оценки уровня безопасности и производительности сетей WiFi.
В 2019 г. данные инструменты будут иметь особое значение, так как начинается переход к внедрению сетей стандарта WiFi 6 (802.11ax) и протокола WPA3. В этот период предприятия будут создавать высокопроизводительные сети следующего поколения со множеством новых возможностей.
Мне нужна консультация. Свяжитесь со мной.
Wi-Fi становится безопаснее: всё, что вам нужно знать про WPA3
WPA3, улучшенное открытие [Enhanced Open], простое соединение [Easy Connect]: три новых протокола от Wi-Fi Alliance
Недавно Wi-Fi Alliance обнародовал крупнейшее обновление безопасности Wi-Fi за последние 14 лет. Протокол безопасности Wi-Fi Protected Access 3 (WPA3) вводит очень нужные обновления в протокол WPA2, представленный в 2004 году. Вместо того, чтобы полностью переработать безопасность Wi-Fi, WPA3 концентрируется на новых технологиях, которые должны закрыть щели, начавшие появляться в WPA2.
Wi-Fi Alliance также объявил о двух дополнительных, отдельных протоколах сертификации, вводящихся в строй параллельно WPA3. Протоколы Enhanced Open и Easy Connect не зависят от WPA3, но улучшают безопасность для определённых типов сетей и ситуаций.
Все протоколы доступны для внедрения производителями в их устройства. Если WPA2 можно считать показателем, то эти протоколы в конечном итоге будут приняты повсеместно, но Wi-Fi Alliance не даёт никакого графика, по которому это должно будет происходить. Скорее всего, с внедрением новых устройств на рынок мы в итоге достигнем этапа, после которого WPA3, Enhanced Open и Easy Connect станут новыми опорами безопасности.
Что же делают все эти новые протоколы? Деталей много, и поскольку большинство из них связано с беспроводным шифрованием, встречается и сложная математика – но вот примерное описание четырёх основных изменений, которые они принесут с собой в дело беспроводной безопасности.
Одновременная аутентификация равных [Simultaneous Authentication of Equals, SAE]
Самое крупное изменение, которое принесёт WPA3. Самый главный момент в защите сети наступает, когда новое устройство пытается установить соединение. Враг должен оставаться за воротами, поэтому WPA2 и WPA3 уделяют много внимания аутентификации новых соединений и гарантии того, что они не будут являться попытками хакера получить доступ.
SAE – новый метод аутентификации устройства, пытающегося подключиться к сети. SAE – это вариант т.н. dragonfly handshake [установления связи по методу стрекозы], использующего криптографию для предотвращения угадывания пароля злоумышленником. Он говорит о том, как именно новое устройство, или пользователь, должен «приветствовать» сетевой маршрутизатор при обмене криптографическими ключами.
SAE идёт на замену методу Pre-Shared Key (PSK) [предварительно розданного ключа], используемого с момента презентации WPA2 в 2004-м. PSK также известен, как четырёхэтапное установление связи, поскольку столько именно сообщений, или двусторонних «рукопожатий», необходимо передать между маршрутизатором и подсоединяющимся устройством, чтобы подтвердить, что они договорились по поводу пароля, при том, что ни одна из сторон не сообщает его другой. До 2016 года PSK казался безопасным, а потом была открыта атака с переустановкой ключа (Key Reinstallation Attacks, KRACK).
KRACK прерывает серию рукопожатий, притворяясь, что соединение с маршрутизатором временно прервалось. На самом деле он использует повторяющиеся возможности соединения для анализа рукопожатий, пока не сможет догадаться о том, какой был пароль. SAE блокирует возможность такой атаки, а также наиболее распространённые офлайновые атаки по словарю, когда компьютер перебирает миллионы паролей, чтобы определить, какой из них подходит к информации, полученной во время PSK-соединений.
Как следует из названия, SAE работает на основании предположения о равноправности устройств, вместо того, чтобы считать одно устройство отправляющим запросы, а второе – устанавливающим право на подключение (традиционно это были устройство, пытающееся соединиться, и маршрутизатор, соответственно). Любая из сторон может отправить запрос на соединение, и потом они начинают независимо отправлять удостоверяющую их информацию, вместо того, чтобы обмениваться сообщениями по очереди, туда-сюда. А без такого обмена у атаки KRACK не будет возможности «вставить ногу между дверью и косяком», и атаки по словарю станут бесполезными.
SAE предлагает дополнительное усиление безопасности, которого не было в PSK: прямую секретность [forward secrecy]. Допустим, атакующий получает доступ к зашифрованным данным, которые маршрутизатор отправляет и получает из интернета. Раньше атакующий мог сохранить эти данные, а потом, в случае успешного подбора пароля, расшифровать их. С использованием SAE при каждом новом соединении устанавливается новый шифрующий пароль, поэтому даже если атакующий в какой-то момент и проникнет в сеть, он сможет украсть только пароль от данных, переданных после этого момента.
SAE описан в стандарте IEEE 802.11-2016, занимающем более 3500 страниц.
192-битные протоколы безопасности
WPA3-Enterprise, версия WPA3, предназначенная для работы в правительственных и финансовых учреждениях, а также в корпоративной среде, обладает шифрованием в 192 бита. Такой уровень шифрования для домашнего маршрутизатора будет избыточным, но его имеет смысл использовать в сетях, работающих с особо чувствительной информацией.
Сейчас Wi-Fi работает с безопасностью в 128 бит. Безопасность в 192 бита не будет обязательной к использованию – это будет вариант настроек для тех организаций, сетям которых она будет нужна. Wi-Fi Alliance также подчёркивает, что в промышленных сетях необходимо усиливать безопасность по всем фронтам: стойкость системы определяется стойкостью самого слабого звена.
Чтобы гарантировать подобающий уровень безопасности всей сети, от начала до конца, WPA3-Enterprise будет использовать 256-битный протокол Galois/Counter Mode для шифрования, 384-битный Hashed Message Authentication Mode режим для создания и подтверждения ключей, и алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm для аутентификации ключей. В них много сложной математики, но плюс в том, что на каждом шагу будет поддерживаться шифрование в 192 бита.
Easy Connect
Easy Connect – это признание наличия в мире огромного количества устройств, присоединённых к сети. И хотя, возможно, не все люди захотят обзавестись умными домами, у среднего человека к домашнему маршрутизатору сегодня, скорее всего, подключено больше устройств, чем в 2004 году. Easy Connect – попытка Wi-Fi альянса сделать подсоединение всех этих устройств более интуитивным.
Вместо того, чтобы каждый раз при добавлении устройства вводить пароль, у устройств будут уникальные QR-коды – и каждый код устройства будет работать как публичный ключ. Для добавления устройства можно будет просканировать код при помощи смартфона, уже соединённого с сетью.
После сканирования устройство обменяется с сетью ключами аутентификации для установления последующей связи. Протокол Easy Connect не связан с WPA3 – устройства, сертифицированные для него, должны иметь сертификат для WPA2, но не обязательно сертификат для WPA3.
Enhanced Open
Enhanced Open – ещё один отдельный протокол, разработанный для защиты пользователя в открытой сети. Открытые сети – такие, которыми вы пользуетесь в кафе или аэропорту – несут в себе целый комплекс проблем, которые обычно не касаются вас, когда вы устанавливаете соединение дома или на работе.
Многие атаки, происходящие в открытой сети, относятся к пассивным. Когда к сети подключается куча людей, атакующий может собрать очень много данных, просто фильтруя проходящую мимо информацию.
Enhanced Open использует оппортунистическое беспроводное шифрование (Opportunistic Wireless Encryption, OWE), определённое в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Для OWE не требуется дополнительная защита с аутентификацией – оно концентрируется на улучшении шифрования данных, передаваемых по публичным сетям, с целью предотвратить их кражу. Оно также предотвращает т.н. простую инъекцию пакетов [unsophisticated packet injection], в которой атакующий пытается нарушить работу сети, создавая и передавая особые пакеты данных, выглядящие, как часть нормальной работы сети.
Enhanced Open не даёт защиты с аутентификацией из-за особенностей организации открытых сетей – они по определению предназначены для всеобщего использования. Enhanced Open был разработан для улучшения защиты открытых сетей против пассивных атак, так, чтобы не требовать от пользователей ввода дополнительных паролей или прохождения дополнительных шагов.
Пройдёт, по меньшей мере, несколько лет, до того, как WPA3, Easy Connect и Enhanced Open станут нормой. Широкое распространение WPA3 произойдёт только после замены или обновления маршрутизаторов. Однако если вас беспокоит безопасность вашей личной сети, вы сможете заменить свой текущий маршрутизатор на другой, поддерживающий WPA3, как только производители начнут продавать их, что может произойти уже через несколько месяцев.