無線網路在現代人的生活中佔有相當重要的關鍵性地位,普及度幾乎可說家戶必備,但在安全加密方面大多數人選用的日目前最普遍的 WPA2,近期 Wi-Fi 聯盟推出的新加密協定 WPA3 雖然還未被廣泛使用,卻已經被發現這個新的加密標準與 WPA2 一樣密碼容易被破解,看來 WPA3 也並非百分之百能夠防止有心人的進犯。
※圖片來源:The Hacker News
新 WPA3 無線網路加密協定內含漏洞,易遭竊取密碼與攻擊
在一篇名為《Dragonblood: A Security Analysis of WPA3’s SAE Handshake》的網路安全論文中,兩位作者披露了 WPA3 中所存在的問題,諷刺的是它容易與其前一代 WPA2 受到許多相同類型的攻擊方式。
在過去 WPA2 透過四次的交握( Handshake)來驗證設備,近期公佈的最新 WPA3 加密協定中最值得一提的優點,莫過於其 WPA3 – Transition 模式,在這個模式下,只需要短暫的轉換就能夠向下支援不相容於 WPA3 的舊設備,但也由於因為允許網路在同時支援 WPA2 與 WPA3 時使用同樣的密碼,因此給了攻擊者可以使用相同於原始 SSID 的有害網路,處於轉換狀態的使用者設備很容易透過 WPA2 連接到有害網路上,從而將交握暴露在風險之中。WPA3 也容易受到基於時間線與暫存的旁通道將網路密碼洩漏出去。
圖片來源:Grandmetric
對此,Wi-Fi 聯盟發表了一份聲明表示:「近期的研究報告中在 WPA3- Personal 發現的幾個早期漏洞,這些設備允許在運行攻擊者軟體的設備上收集輔助訊息,並且不正確地實施某些加密操作或不適合的加密元素。目前 WPA3 還處於部署中的早期階段,受影響的少數設備製造商已經開始準備更新軟體來解覺問題,這些被披露的問題皆可透過軟體來解決,不會影響到設備間協同工作的能力。」
WPA3 雖然已經發布,但還屬於早期的年輕狀態,且目前市面設備尚未廣泛運用,此時的披露更有助於改進其本質上的安全性,在臻於成熟之前還有相當大的進步空間。想要擁有更好的網路安全性,除了使依靠加密協定本身的強化外,使用者在密碼設定方面也要提升複雜度(至少 13 個字元),對於工作環境等具備高安全性需求的無線網路甚至可依靠密碼生成工具來強化密碼的結構。
【了解 WPA3,點這裡】
◎資料來源:Android Police