无线网络在现代人的生活中占有相当重要的关键性地位,普及度几乎可说家户必备,但在安全加密方面大多数人选用的日目前最普遍的 WPA2,近期 Wi-Fi 联盟推出的新加密协定 WPA3 虽然还未被广泛使用,却已经被发现这个新的加密标准与 WPA2 一样密码容易被破解,看来 WPA3 也并非百分之百能够防止有心人的进犯。
※图片来源:The Hacker News
新 WPA3 无线网络加密协定内含漏洞,易遭窃取密码与攻击
在一篇名为《Dragonblood: A Security Analysis of WPA3’s SAE Handshake》的网络安全论文中,两位作者披露了 WPA3 中所存在的问题,讽刺的是它容易与其前一代 WPA2 受到许多相同类型的攻击方式。
在过去 WPA2 透过四次的交握( Handshake)来验证设备,近期公布的最新 WPA3 加密协定中最值得一提的优点,莫过于其 WPA3 – Transition 模式,在这个模式下,只需要短暂的转换就能够向下支援不相容于 WPA3 的旧设备,但也由于因为允许网络在同时支援 WPA2 与 WPA3 时使用同样的密码,因此给了攻击者可以使用相同于原始 SSID 的有害网络,处于转换状态的使用者设备很容易透过 WPA2 连接到有害网络上,从而将交握暴露在风险之中。WPA3 也容易受到基于时间线与暂存的旁通道将网络密码泄漏出去。
图片来源:Grandmetric
对此,Wi-Fi 联盟发表了一份声明表示:“近期的研究报告中在 WPA3- Personal 发现的几个早期漏洞,这些设备允许在运行攻击者软件的设备上收集辅助讯息,并且不正确地实施某些加密操作或不适合的加密元素。目前 WPA3 还处于部署中的早期阶段,受影响的少数设备制造商已经开始准备更新软件来解觉问题,这些被披露的问题皆可透过软件来解决,不会影响到设备间协同工作的能力。”
WPA3 虽然已经发布,但还属于早期的年轻状态,且目前市面设备尚未广泛运用,此时的披露更有助于改进其本质上的安全性,在臻于成熟之前还有相当大的进步空间。想要拥有更好的网络安全性,除了使依靠加密协定本身的强化外,使用者在密码设定方面也要提升复杂度(至少 13 个字元),对于工作环境等具备高安全性需求的无线网络甚至可依靠密码生成工具来强化密码的结构。
【了解 WPA3,点这里】
◎资料来源:Android Police
