zwakke passwordEdit
Pre-shared key WPA en WPA2 blijven kwetsbaar voor wachtwoordkraakaanvallen als gebruikers vertrouwen op een zwak wachtwoord of wachtwoordzin. WPA passphrase hashes zijn gezaaid uit de SSID naam en de lengte; regenboog tabellen bestaan voor de top 1000 netwerk SSID ‘ s en een veelheid van gemeenschappelijke wachtwoorden, die slechts een snelle lookup om te versnellen kraken WPA-PSK.
Brute forcering van eenvoudige wachtwoorden kan worden geprobeerd met behulp van de Aircrack Suite vanaf de Four-way authentication handshake die wordt uitgewisseld tijdens associatie of periodieke herauthenticatie.
WPA3 vervangt cryptografische protocollen die vatbaar zijn voor off-line analyse door protocollen die interactie met de infrastructuur vereisen voor elk geraden wachtwoord, waarbij zogenaamd tijdslimieten worden gesteld voor het aantal gissingen. Echter, ontwerpfouten in WPA3 inschakelen aanvallers om plausibel te lanceren brute-force aanvallen (zie Dragonblood aanval).
gebrek aan forward secrecyEdit
WPA en WPA2 bieden geen forward secrecy, wat betekent dat zodra een tegenstander de vooraf gedeelde sleutel ontdekt, ze mogelijk alle pakketten versleuteld kunnen decoderen met behulp van die PSK die in de toekomst en zelfs in het verleden is verzonden, die passief en geruisloos door de aanvaller kunnen worden verzameld. Dit betekent ook dat een aanvaller in stilte pakketten van anderen kan vastleggen en decoderen als een WPA-beveiligd toegangspunt gratis wordt verstrekt op een openbare plaats, omdat het wachtwoord meestal wordt gedeeld met iedereen op die plaats. Met andere woorden, WPA beschermt alleen tegen aanvallers die geen toegang hebben tot het wachtwoord. Daarom is het veiliger om Transport Layer Security (TLS) of iets dergelijks te gebruiken voor de overdracht van gevoelige gegevens. Maar vanaf WPA3, dit probleem is aangepakt.
WPA packet spoofing and decryptionEdit
Mathy Vanhoef en Frank Piessens verbeterden aanzienlijk op de WPA-TKIP aanvallen van Erik Tews en Martin Beck. Ze toonden aan hoe een willekeurig aantal pakketten te injecteren, waarbij elk pakket maximaal 112 bytes payload bevat. Dit werd aangetoond door het implementeren van een poort scanner, die kan worden uitgevoerd tegen elke client met behulp van WPA-TKIP. Bovendien lieten ze zien hoe je willekeurige pakketten verzonden naar een klant decoderen. Ze vermeldden dat dit kan worden gebruikt om een TCP-verbinding te kapen, waardoor een aanvaller om kwaadaardige JavaScript injecteren wanneer het slachtoffer bezoekt een website.In daarentegen kon de Beck-Tews-aanval alleen korte pakketten decoderen met de meest bekende inhoud, zoals ARP-berichten, en alleen injectie van 3 tot 7 pakketten van maximaal 28 bytes toegestaan. De Beck-Tews-aanval vereist ook kwaliteit van de dienstverlening (zoals gedefinieerd in 802.11e) worden ingeschakeld, terwijl de Vanhoef-Piessens aanval dat niet doet. Geen van beide aanvallen leidt tot herstel van de gedeelde sessiesleutel tussen de client en het toegangspunt. De auteurs zeggen dat het gebruik van een kort rekeying interval sommige aanvallen kan voorkomen, maar niet alle, en raden sterk aan over te schakelen van TKIP naar AES-gebaseerde CCMP.
Halvorsen en anderen laten zien hoe de Beck-Tews-aanval kan worden aangepast om injectie van 3 tot 7 pakketten met een grootte van maximaal 596 bytes mogelijk te maken. Het nadeel is dat hun aanval aanzienlijk meer tijd nodig heeft om uit te voeren: ongeveer 18 minuten en 25 seconden. In ander werk toonden Vanhoef en Piessens aan dat, wanneer WPA wordt gebruikt om broadcast pakketten te versleutelen, hun oorspronkelijke aanval ook kan worden uitgevoerd. Dit is een belangrijke uitbreiding, aangezien aanzienlijk meer netwerken WPA gebruiken om broadcast-pakketten te beschermen, dan om unicast-pakketten te beschermen. De uitvoeringstijd van deze aanval ligt gemiddeld rond de 7 minuten, vergeleken met de 14 minuten van de oorspronkelijke Vanhoef-Piessens en Beck-Tews aanval.
de kwetsbaarheden van TKIP zijn significant omdat WPA-TKIP als een uiterst veilige combinatie werd beschouwd; inderdaad, WPA-TKIP is nog steeds een configuratie-optie op een breed scala van draadloze routering apparaten die door veel hardware leveranciers. Uit een onderzoek in 2013 bleek dat 71% nog steeds gebruik van TKIP toestaat en 19% uitsluitend TKIP ondersteunt.
WPS PIN recoveryEdit
in December 2011 onthulde Stefan Viehböck een ernstiger beveiligingslek dat draadloze routers beïnvloedt met de Wi-Fi Protected Setup (WPS) functie, ongeacht welke versleutelingsmethode ze gebruiken. De meest recente modellen hebben deze functie en inschakelen het standaard. Veel consumenten Wi-Fi-apparaatfabrikanten hadden stappen ondernomen om het potentieel van zwakke wachtwoordkeuzes te elimineren door alternatieve methoden te bevorderen voor het automatisch genereren en distribueren van sterke sleutels wanneer gebruikers een nieuwe draadloze adapter of apparaat aan een netwerk toevoegen. Deze methoden omvatten het indrukken van knoppen op de apparaten of het invoeren van een 8-cijferige PIN.
de Wi-Fi Alliance heeft deze methoden gestandaardiseerd als Wi-Fi Protected Setup, maar de PIN-functie, die op grote schaal is geïmplementeerd, introduceerde een belangrijke nieuwe beveiligingslek. De fout maakt het mogelijk een externe aanvaller om de WPS PIN te herstellen en, daarmee, WPA/WPA2 wachtwoord van de router in een paar uur. Gebruikers zijn aangespoord om de WPS-functie uit te schakelen, hoewel dit niet mogelijk is op sommige router modellen. Ook, de PIN is geschreven op een label op de meeste Wi-Fi routers met WPS, en kan niet worden gewijzigd als gecompromitteerd.
WPA3 introduceert een nieuw alternatief voor de configuratie van apparaten die niet over voldoende mogelijkheden voor de gebruikersinterface beschikken, doordat nabijgelegen apparaten kunnen dienen als een geschikte gebruikersinterface voor netwerkvoorzieningen, waardoor de behoefte aan WPS wordt verlicht.
MS-CHAPv2 en gebrek aan AAA server cn validationEdit
er zijn verschillende zwakke punten gevonden in MS-CHAPv2, waarvan sommige de complexiteit van brute-force-aanvallen aanzienlijk verminderen, waardoor ze met moderne hardware haalbaar zijn. In 2012 werd de complexiteit van het breken van MS-CHAPv2 gereduceerd tot die van het breken van een enkele des key, werk van Moxie Marlinspike en Marsh Ray. Moxie geadviseerd: “bedrijven die afhankelijk zijn van de wederzijdse authenticatie eigenschappen van MS-CHAPv2 voor de verbinding met hun WPA2 Radius servers moeten onmiddellijk beginnen te migreren naar iets anders.”
Tunneled EAP methoden die gebruik maken van TTLS of PEAP die de mschapv2 uitwisseling versleutelen worden op grote schaal gebruikt om te beschermen tegen exploitatie van deze kwetsbaarheid. Echter, heersende WPA2 client implementaties tijdens de vroege jaren 2000 waren gevoelig voor misconfiguratie door eindgebruikers, of in sommige gevallen (bijvoorbeeld Android), ontbrak een gebruiker toegankelijke manier om validatie van AAA server certificaat CNs goed configureren. Dit breidde de relevantie uit van de oorspronkelijke zwakte in Mschapv2 binnen MiTM-aanvalsscenario ‘ s. Onder strengere WPA2 compliance tests aangekondigd samen met WPA3, gecertificeerde client software zal worden verplicht om te voldoen aan bepaalde gedragingen rond AAA-certificaat validatie.
Hole196Edit
Hole196 is een kwetsbaarheid in het WPA2-protocol dat misbruik maakt van de Shared Group Temporal Key (GTK). Het kan worden gebruikt om man-in-the-middle en denial-of-service aanvallen uit te voeren. Het gaat er echter van uit dat de aanvaller al is geauthenticeerd tegen Access Point en dus in het bezit is van de GTK.
voorspelbare Groepstijdsleutel (GTK)Edit
In 2016 werd aangetoond dat de WPA-en WPA2-standaarden een onveilige expository random number generator (RNG) bevatten. Onderzoekers toonden aan dat, als leveranciers de voorgestelde RNG implementeren, een aanvaller in staat is om de groepssleutel (GTK) die wordt verondersteld willekeurig te worden gegenereerd door de access point (AP) voorspellen. Bovendien toonden ze aan dat het bezit van de GTK de aanvaller in staat stelt om verkeer in het netwerk te injecteren en de aanvaller unicast-internetverkeer dat via het draadloze netwerk wordt verzonden, kon decoderen. Ze demonstreerden hun aanval tegen een ASUS RT-AC51U router die de MediaTek out-of-tree drivers gebruikt, die de GTK zelf genereren, en toonden aan dat de GTK binnen twee minuten of minder kan worden hersteld. Op dezelfde manier demonstreerden ze de sleutels die worden gegenereerd door Broadcom access daemons die draaien op VxWorks 5 en later kunnen worden hersteld in vier minuten of minder, wat bijvoorbeeld invloed heeft op bepaalde versies van de Linksys WRT54G en bepaalde Apple AirPort Extreme-modellen. Leveranciers kunnen zich tegen deze aanval verdedigen met behulp van een veilige RNG. Door dit te doen, Hostapd draait op Linux kernels is niet kwetsbaar voor deze aanval en dus routers draaien typische OpenWrt of LEDE installaties niet vertonen dit probleem.
KRACK attackEdit
in oktober 2017 werden details van de krack (Key Reinstallation Attack) aanval op WPA2 gepubliceerd. Er wordt aangenomen dat de krack-aanval alle varianten van WPA en WPA2 beïnvloedt; de beveiligingsimplicaties variëren echter tussen implementaties, afhankelijk van hoe individuele ontwikkelaars een slecht gespecificeerd deel van de standaard interpreteerden. Software patches kunnen de kwetsbaarheid op te lossen, maar zijn niet beschikbaar voor alle apparaten.
Dragonblood attackEdit
in April 2019 werden ernstige ontwerpfouten in WPA3 gevonden waardoor aanvallers downgrade-aanvallen en zijkanaalaanvallen konden uitvoeren, waardoor brute-forcing van de wachtzin mogelijk werd en denial-of-service-aanvallen op Wi-Fi-basisstations werden gestart.