Che cos'è l'accesso protetto Wi-Fi (WPA)?

In un mondo in cui la comunicazione wireless sta diventando la norma, la sicurezza assume una dimensione completamente diversa. Per fornire una protezione adeguata, dobbiamo spostare la nostra attenzione dalle reti aziendali agli standard di sicurezza cloud e wireless. Il wireless può spesso compromettere la sicurezza. Il network slicing 5G, ad esempio, rende gli amministratori aperti agli attacchi.

WPA è uno dei metodi più fondamentali e testati nel tempo per proteggere i dispositivi wireless dagli attacchi. A partire dai primi anni 2000, diverse varianti di WPA sono state integrate nelle reti per salvaguardare i dati in transito. Esaminiamo la definizione e il funzionamento di WPA.

Qual è il significato di WPA?

Wi-Fi Protected Access (WPA) è uno standard per proteggere i dispositivi connessi alle reti Wi-Fi. Il suo obiettivo è porre rimedio alle principali debolezze dello standard WEP (Wired Equivalent Privacy) esistente.

L'Institute of Electrical and Electronics Engineers (IEEE) ha creato la tecnica di crittografia WEP (Wired Equivalent Privacy) per fornire sicurezza wireless agli utenti della rete 802.11. I dati wireless, in questo caso, sono stati trasmessi utilizzando onde radio. WEP è stato utilizzato per evitare intercettazioni, prevenire accessi indesiderati e salvaguardare l'integrità dei dati. I dati sono stati crittografati con il cifrario a flusso RC4.

Tuttavia, è stato scoperto che questa tecnica di crittografia presentava gravi falle di sicurezza. Entro quindici minuti, hacker esperti potrebbero estrarre le chiavi WEP di una rete attiva. Al suo posto, è stato suggerito Wi-Fi Protected Access (WPA).

All'inizio del ventunesimo secolo, gli esperti di sicurezza scoprirono di poter violare facilmente WEP e l'FBI rivelò quanto WEP fosse vulnerabile. Nel 2004, la Wi-Fi Alliance ha formalmente deprecato WEP a favore di WPA e, nello stesso anno, è stato introdotto WPA2 come sostituto più sicuro. Nel 2018, Wi-Fi Alliance ha annunciato il lancio della versione più recente di WPA, WPA3.

Come funziona l'accesso protetto Wi-Fi (WPA)?

WEP utilizza chiavi a 64 e 128 bit, mentre WPA utilizza chiavi a 256 bit. Diventa più difficile per un hacker decifrare una chiave più lunga. Indipendentemente dalla potenza di un computer, sono necessarie almeno alcune ore per decodificare una chiave WPA, quindi la maggior parte degli hacker non proverà a meno che non sia disperata per entrare in una rete.

Nonostante la maggiore sicurezza, si è scoperto che WPA conteneva un difetto di sicurezza: utilizzava il Temporal Key Integrity Protocol o TKIP. C'era ancora un numero significativo di dispositivi Wi-Fi che utilizzavano WEP, quindi TKIP aveva lo scopo di facilitare l'aggiornamento del firmware a WPA. TKIP si è rivelato, sfortunatamente, altrettanto semplice da decifrare.

Per questo motivo era necessario un nuovo protocollo di crittografia e WPA2 ha sostituito WPA. La distinzione più notevole è che utilizza AES o Advanced Encryption Standard. CCMP, o Counter Mode Cipher Block Chaining Message Authentication Code Protocol, viene utilizzato per implementare AES. L'aggiunta di AES rende la crittografia WPA2 molto più difficile da decifrare.

( Leggi anche: Cos'è la sicurezza di rete?)

Quali sono le caratteristiche principali di WPA?

Ormai sai tutto sulle prime generazioni di WPA, le loro caratteristiche principali (autenticazione e crittografia) e come funzionano. Tuttavia, i criminali informatici diventano sempre più intelligenti, alla ricerca di nuovi modi per aggirare i meccanismi di sicurezza. Allo stesso modo, c'è stato un aumento dell'incidenza di una nuova minaccia chiamata Key Reinstallation Attacks (KRACK). Compromette il protocollo WPA2 richiedendo il riutilizzo nonce nelle tecniche di crittografia Wi-Fi. Ecco perché era necessario lo standard di sicurezza più avanzato, WPA3.

Ci sono voluti 14 anni dopo l'introduzione di WPA2 per introdurre la sua sostituzione. Nel 2018, tuttavia, è stato lanciato WPA3. In generale, la crittografia e l'implementazione WPA3 sono molto più solide. Le sue caratteristiche principali sono le seguenti:

1. Niente più password condivise

WPA3 registra un nuovo dispositivo su una rete pubblica utilizzando una procedura diversa da una comune password. Ciò consente la crittografia dei dati personalizzata. WPA3 utilizza un protocollo Wi-Fi Device Provisioning Protocol (DPP) che consente agli utenti di aggiungere dispositivi alla rete tramite tag NFC (Near Field Communication) e codici QR. Inoltre, la sicurezza WPA3 utilizza la crittografia GCMP-256 anziché la crittografia a 128 bit.

2. L'uso del protocollo SAE (Simultaneous Authentication of Equals).

Viene utilizzato per creare un handshake sicuro in cui un dispositivo di rete si connette a un punto di accesso wireless ed entrambi i dispositivi verificano l'autenticazione e la connettività. Utilizzando Wi-Fi DPP, WPA3 offre un handshake molto più sicuro, anche se la password di un utente è insicura e vulnerabile.

4. Protezione dagli attacchi di forza bruta

Un attacco di forza bruta è un tipo di hacking che utilizza tentativi ed errori automatizzati per violare password, informazioni di accesso e chiavi di crittografia. WPA3 difende i sistemi dall'ipotesi di password offline limitando il numero di tentativi a uno, richiedendo all'utente di interagire direttamente con l'apparecchiatura Wi-Fi. Ciò richiederebbe la loro presenza personale ogni volta che tentano di capire la password.

WPA2 manca di crittografia e privacy su connessioni pubbliche aperte, rendendo gli attacchi di forza bruta un serio rischio.

Come procedere per l'implementazione di WPA?

WPA può essere implementato in una delle due modalità: la modalità PSK (pre-shared key) per le reti Wi-Fi domestiche e la modalità aziendale. Per quest'ultimo, ti consigliamo di utilizzare Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise). Questo perché, nonostante sia in circolazione da diversi anni, WPA3 non è disponibile in tutte le regioni o varianti di dispositivo, in particolare per i casi d'uso aziendali.

L'implementazione di WPA2 Enterprise include:

• Installazione di un server RADIUS : il server di autenticazione è il gateway RADIUS (servizio utente dial-in di autenticazione remota) che esegue l'autenticazione. L'autenticatore è lo strumento a livello di punto di accesso, come un laptop o uno smartphone. Sono disponibili diverse opzioni di server RADIUS commerciali e open source, come Windows Server e FreeRadius.

• Configurazione dei punti di accesso con crittografia e informazioni sul server RADIUS : quando si connette a una rete, gli utenti devono inserire le proprie credenziali di accesso. Le vere chiavi di crittografia non sono accessibili a loro, né vengono conservate sul dispositivo. Ciò protegge la rete wireless dal personale in uscita e dai gadget smarriti.

• Configurazione del sistema operativo con crittografia e impostazioni IEEE 802.1x : i passaggi necessari per configurare il sistema operativo con IEEE 802.1x dipendono dalle specifiche del server e del client. Consultare i produttori delle apparecchiature e del software per assistenza.

• Quindi, connessione alla tua azienda wireless sicura : la rete è ora pronta per l'uso da parte del personale. È inoltre possibile proteggere i dispositivi in ​​massa attraverso la rete wireless dell'azienda.

WPA3 è a prova di errore? Considerazioni per i decisori IT

Sebbene WPA3 sia un importante progresso, ha mostrato difetti durante i suoi primi anni di esistenza. Ad esempio, la procedura di handshake di WPA3 è suscettibile agli attacchi di partizionamento delle password, che potrebbero consentire agli intrusi di rete di ottenere passcode e frasi utilizzando attacchi di canale laterale in determinati scenari.

Alcune tecnologie non possono implementare gli standard WPA3 anche con le correzioni, a meno che anche le comunicazioni e l'infrastruttura di rete associate non supportino questo protocollo avanzato. Questa mancanza di interconnettività e compatibilità attuali può causare vulnerabilità di sicurezza e ridurre al minimo l'adozione diffusa da parte delle aziende della tecnologia compatibile con WPA3.

I gestori dovrebbero mantenere tutti i componenti di rete aggiornati con le patch di sicurezza più recenti e sofisticate per garantire che eventuali punti deboli possano essere individuati e gestiti. In definitiva, devi rimanere al passo con i nuovi sviluppi tecnologici che continueranno a influenzare il panorama Wi-Fi in generale. E non dimenticare di esplorare i vantaggi di un sistema di sicurezza automatizzato per la tua organizzazione.