I protocolli WPA (Wi-Fi Protected Access) sono stati progettati al fine della protezione delle reti Wi-fi: quando un client si collega a un dispositivo wireless (router Wi-fi, access point,..) la password che viene richiesta per il collegamento viene oggi solitamente gestita ricorrendo all'algoritmo WPA2.
WPA e WPA2 sono stati definiti, prima l'uno (nel 1999) e poi l'altro (nel 2004), per superare le gravi debolezze di cui soffre il vetusto algoritmo WEP.
Fino a qualche tempo fa, per proteggere adeguatamente una rete Wi-fi era tipicamente sufficiente proteggerla con WPA2 e una parola chiave sufficientemente lunga e complessa.
WPA2, infatti, pur offrendo numerose migliorie in termini di sicurezza rispetto a WPA, soffre comunque l'utilizzo di password deboli. L'algoritmo è infatti comunque vulnerabile ad attacchi brute force che possono avere successo quando l'utente usasse password semplici.
Inoltre, viene sempre sconsigliato di usare un SSID (identificativo della rete Wi-fi) molto comune perché gli aggressori possono usare tabelle arcobaleno (rainbow tables) pregenerate per sveltire l'attacco.
Molto comuni gli attacchi che sfruttano l'utilizzo del PIN WPS sul router Wi-fi per guadagnare l'accesso non autorizzato alla rete Wi-fi: é davvero possibile rubare le password Wi-fi?
Di recente, però, il ricercatore Mathy Vanhoef ha dimostrato che è possibile leggere il contenuto dei pacchetti dati che transitano tra router/access point Wi-fi protetti con WPA/WPA2 e i dispositivi client senza neppure il bisogno di craccare la password usata a protezione della rete wireless altrui.
Dopo l'annuncio della scoperta, i produttori di dispositivi Wi-fi sono subito corsi ai ripari rilasciando delle patch correttive.
Il problema, però, riguarda lo standard in sé e gli aggiornamenti di sicurezza non sono stati assolutamente rilasciati per la totalità dei dispositivi in circolazione.
Il passaggio a una nuova e più sicura versione di WPA è quindi divenuta una tappa obbligata.
WPA3, cos'è e come funziona il successore degli attuali algoritmi per la protezione delle reti Wi-fi
Dal punto di vista strettamente tecnico, è la Wi-fi Alliance, associazione non a scopo di lucro formata da alcuni tra i principali "big" dell'industria del settore, che rilascia le certificazioni WPA2 e, a breve, WPA3.
In altre parole, tutti i dispositivi Wi-fi per i quali il produttore voglia esporre il logo "Wi-Fi CERTIFIED WPA2" o "Wi-Fi CERTIFIED WPA3" deve attenersi scrupolosamente alle specifiche pubblicate dalla Wi-fi Alliance per l'implementazione dei due algoritmi e superare le verifiche di rito.
Ma andiamo ad analizzare le novità introdotte da WPA3.
Maggiore sicurezza durante l'utilizzo delle reti Wi-fi pubbliche
Allo stato attuale, quando si utilizzano reti Wi-fi pubbliche la sicurezza delle stesse è un punto interrogativo.
Il traffico di rete generato dal proprio dispositivo (eccetto quello crittografato, ad esempio quello veicolato via HTTPS), una volta connessi a una rete Wi-fi pubblica, potrebbe infatti essere letto da parte di terzi, collegati al medesimo router o access point. Per questo motivo è sempre consigliato l'uso di una VPN in tali frangenti.
L'impiego di una VPN offre le migliori garanzie quando si usa una Wi-fi pubblica gestita da terzi.
Se si disponesse di un server VPN a casa o in ufficio si potrà stabilire un collegamento cifrato da remoto oppure si potrà ricorrere a un servizio VPN di terze parti, da scegliere con attenzione.
WPA3 permette di superare questi problemi attivando la cifratura individuale dei dati: ogniqualvolta ci si connetterà a una Wi-fi pubblica, tutto il traffico scambiato tra il singolo dispositivo e l'access point verrà crittografato, anche se non fosse stato richiesto l'inserimento di una password al momento della connessione (rete aperta).
Migliore protezione contro gli attacchi brute force
Ogni volta che un dispositivo si collega a un access point Wi-fi viene avviata una procedura detta handshake che permette di verificare la correttezza della password inserita e procedere con la negoziazione della connessione.
La procedura di handshake si è rivelata vulnerabile ad attacchi sebbene le patch rilasciate dai vari produttori hardware permettano di annullare i rischi di aggressione.
WPA3 stabilisce una modalità nuova per l'effettuazione dell'handshake, robusta e impossibile da forzare.
La soluzione scelta è talmente affidabile che rende sicura la rete Wi-fi anche quando il gestore della stessa avesse scelto una password semplice.
Mathy Vanhoef, l'autore della scoperta relativa alle vulnerabilità di WPA2, si è dichiarato entusiasta delle novità introdotte in WPA3: usando questo protocollo sarà possibile porsi alle spalle KRACK e i rischi di monitoraggio della connessione di rete da parte di terzi.
Connessione più semplice e veloce per i dispositivi Wi-fi sprovvisti di display
Il mondo è cambiato tanto nel corso degli ultimi anni ed è oggi cosa sempre più comune interfacciarsi con dispositivi Wi-fi che non dispongono di un display.
Si pensi a dispositivi come Google Home e Amazon Echo ma anche alle videocamere wireless, agli elettrodomestici di nuova generazione, a tutti i dispositivi per la domotica e la smart home, ai dispositivi che appartengono al mondo dell'internet delle cose (IoT).
Per collegare questi dispositivi alla rete Wi-fi è tipicamente necessario installare un'app o collegarsi al server web locale installato su tali dispositivi usando un altro terminale connesso alla medesima LAN.
WPA3 include una funzionalità che si prefigge di semplificare il processo di configurazione di ciascun dispositivo Wi-fi sprovvisto di display.
La Wi-fi Alliance ad oggi non ha ancora chiarito di che cosa si tratterà ma è altamente probabile che possa trattarsi di una sorta di pulsante WPS (Wi-Fi Protected Setup) migliorato.
Un maggior livello di sicurezza per le applicazioni industriali
Da ultimo, WPA3 abbraccia una suite per la sicurezza a 192 bit che renderà l'utilizzo del nuovo protocollo adatto per tutte le applicazioni in cui la riservatezza dei dati è un aspetto essenziale.
Tant'è vero che le specifiche che saranno approvate permetteranno di attivare una protezione military grade utilizzabile anche dagli enti governativi e dalle aziende per applicazioni industriali.
L'obiettivo è quello di ottenere l'endorsement dell'agenzia di sicurezza nazionale statunitense e venire incontro alle richieste del governo USA per l'attivazione di un sistema crittografico più solido sulle Wi-fi che veicolano dati "sensibili".
Data di lancio di WPA3
Quando arriveranno sul mercato i primi dispositivi WPA3?
Diciamo subito che se non si avesse l'esigenza pressante di sostituire il proprio router Wi-fi, si potrebbe attendere ancora qualche mese così da scegliere tra i primi dispositivi WPA3 in commercio.
WPA3 dovrebbe essere approvato entro fine 2018 e i primi dispositivi compatibili, seppur sprovvisti della certificazione definitiva, potrebbero arrivare sul mercato già dopo l'estate.
La Wi-fi Alliance non ha fatto menzione circa le possibili modalità di gestione degli attuali dispositivi wireless compatibili WPA2 ma non, ovviamente, WPA3.
È lecito ipotizzare che gli attuali router non siano destinati a ricevere il supporto WPA3.
Se infatti in linea di principio i produttori hardware potrebbero rilasciare aggiornamenti del firmware per introdurre il supporto WPA3 negli attuali dispositivi, è difficile che ciò avvenga.
Al massimo firmware aggiornati in grado di attivare WPA3 accanto a WPA2 potranno essere messi a disposizione degli utenti solo con riferimento ai router più evoluti, professionali e costosi. È invece assai più probabile che i produttori si concentrino sullo sviluppo di nuovo hardware.
Vale la pena osservare, poi, che per ogni router Wi-fi WPA3 si dovranno usare client wireless a loro volta compatibili con WPA3. Diversamente non si potranno sfruttare le nuove caratteristiche del protocollo WPA3.
La buona notizia è che lo stesso router compatibile WPA3 potrà allo stesso tempo accettare anche connessioni WPA2. Inoltre, anche quando WPA3 sarà sufficientemente diffuso, ci si dovrà attendere un periodo transitorio piuttosto lungo in cui alcuni dispositivi saranno collegati al router mediante WPA3 mentre altri attraverso WPA2.