Det nya protokollet för skydd av Wi-Fi-nätverk som meddelades av Wi-Fi Alliance i januari 2018. WPA3, vad förväntas spridas i stor utsträckning före slutet av detta år.
Detta är bygger på kärnkomponenterna i WPA2 och kommer med ytterligare funktioner för att förenkla Wi-Fi-säkerhetsinställningar för användare och tjänsteleverantörer, samtidigt som säkerhetsskyddet förbättras.
Dessa inkluderade fyra nya funktioner för personliga Wi-Fi-nätverk.
Enligt Wi-Fi Alliance kommer två av dessa funktioner att erbjuda robust skydd även när användare väljer lösenord som inte uppfyller vanliga komplexitetsrekommendationer.
Med andra ord, WPA3 kan göra offentliga Wi-Fi-nätverk säkrarevilket gör det svårt för en person i ett öppet nätverk att fånga upp data som skickas av andra enheter i samma nätverk.
Men en ny rapport publicerad av två forskare från New York University och Tel Aviv University, de verkar säga något annatsom i vissa av säkerhetsmetoderna som används i det nya protokollet genom att markera några av problemen som är associerade med dem.
WPA3 är ännu inte implementerat och är redan buggy
Din analys, beskriven Artikeln fokuserar på SAE Handshake WPA3-protokollet. Denna analys visade att WPA3 påverkas av olika designfel och närmare bestämt det skulle vara sårbart för "lösenord partition attacker".
En av de mycket viktiga förändringarna som infördes av WPA3-protokollet är dock autentiseringsmekanismen SAE (Concurrent Peer Authentication).
Detta är en mekanism som lägger mer vikt vid autentisering, en känslig period under vilken övervakning av säkerhetssystemet måste vara operativt för att skilja mellan normala anslutningar och intrång.
Denna nya, mer robusta mekanism ersätter PSK-metoden (Pre-Shared Key) som gällde sedan lanseringen av WPA2 2004.
Denna sista metod upptäcktes med KRACK-tekniken. SAE motstår dessa attacker, liksom ordlistaattacker som används i kryptanalys för att hitta ett lösenord, enligt IEEE Spectrum.
Med andra ord, enligt rapporten från dessa två forskare från New York University Mathy Vanhoef, WPA3-certifiering syftar till att säkra Wi-Fi-nätverk och det erbjuder flera fördelar jämfört med sin föregångare WPA2, såsom skydd mot offline-ordbokattacker.
Men, enligt Vanhoef och Ronen, WPA3 har allvarliga brister, särskilt i termer av mekanismen SAE-autentisering, även känd som Dragonfly.
Enligt dem, Dragonfly skulle påverkas av anfall som anropas Msgstr "Lösenordsattackeringar".
De förklarar att dessa attacker ser ut som ordboken och låt en motståndare hämta lösenordet genom att missbruka sido- eller sekundärkanaläckage.
Utöver detta presenterade de en fullständig och fristående beskrivning av WPA3 och anser att SAE: s överbelastningsmekanismer inte förhindrar förnekande av tjänsteattacker.
Hur fungerar anställdas attacker?
I synnerhet genom att överanvända omkostnaderna för SAE Handshake-försvar mot tidigare kända sekundära kanaler, en enhet med begränsade resurser kan överbelasta en åtkomstpunkts processor professionell.
Dessutom utförde de ett stort antal attacker mot de olika mekanismerna som utgör WPA3-protokollet, till exempel en ordlistaattack mot WPA3 när man arbetar i övergångsläge, en cachebaserad mikroarkitektur-sidattack mot SAE Handshake och tog tillfället i akt att visa hur den återvunna tiden kan användas och cache-informationen för att utföra en "lösenordsdelningsattacker" offline.
Detta gör det möjligt för en angripare att återställa lösenordet som används av offret.
Slutligen förklarar de att ha studerat genomförbarheten av tidsinställda attacker mot WPA3 SAE-handskakningen.
Enligt dem, detta bekräftar att synkroniseringsattacker är möjliga och att lösenordsinformationen går förlorad. Rapporten beskriver dessa olika attacker av Vanhoef och Ronen och föreslår lösningsmetoder för att göra standarden säkrare.
Enligt deras slutsats saknar WPA3 den säkerhet som krävs för att betraktas som en modern säkerhetsstandard och kommer att behöva utvecklas vidare innan den allmänt antas.