svag lösenordredigera
fördelad nyckel WPA och WPA2 förblir sårbara för lösenordssprickattacker om användarna litar på ett svagt lösenord eller lösenfras. WPA-lösenfrashashar såddas från SSID-namnet och dess längd; regnbågstabeller finns för de 1 000 bästa nätverks-SSID: erna och en mängd vanliga lösenord, vilket bara kräver en snabb sökning för att påskynda sprickbildning WPA-PSK.
Brute forcing av enkla lösenord kan försökas med hjälp av Aircrack Suite från fyrvägs autentisering handskakning utbyts under associering eller periodisk re-autentisering.
WPA3 ersätter kryptografiska protokoll som är mottagliga för off-line-analys med protokoll som kräver interaktion med infrastrukturen för varje gissat lösenord, vilket förmodligen placerar tidsmässiga gränser för antalet gissningar. Designfel i WPA3 gör det dock möjligt för angripare att på ett troligt sätt starta brute-force-attacker (se Dragonblood attack).
brist på framåt secrecyEdit
WPA och WPA2 ger inte framåt Sekretess, vilket innebär att när en negativ person upptäcker den fördelade nyckeln kan de potentiellt dekryptera alla paket krypterade med den PSK som överförs i framtiden och till och med tidigare, vilket kan passivt och tyst samlas in av angriparen. Detta innebär också att en angripare tyst kan fånga och dekryptera andras paket om en WPA-skyddad åtkomstpunkt tillhandahålls gratis på en allmän plats, eftersom dess lösenord vanligtvis delas med någon på den platsen. Med andra ord skyddar WPA bara från angripare som inte har tillgång till lösenordet. På grund av det är det säkrare att använda Transport Layer Security (TLS) eller liknande utöver det för överföring av känsliga data. Men från och med WPA3 har denna fråga tagits upp.
WPA-paketspoofing och dekrypteringredigera
Mathy Vanhoef och Frank Piessens förbättrades avsevärt på WPA-TKIP-attackerna från Erik Tews och Martin Beck. De visade hur man injicerar ett godtyckligt antal paket, där varje paket innehåller högst 112 byte nyttolast. Detta demonstrerades genom att implementera en portskanner, som kan köras mot alla klienter som använder WPA-TKIP. Dessutom visade de hur man dekrypterar godtyckliga paket som skickades till en klient. De nämnde att detta kan användas för att kapa en TCP-anslutning, så att en angripare kan injicera skadlig JavaScript när offret besöker en website.In däremot kunde Beck-Tews-attacken bara dekryptera korta paket med mest känt innehåll, såsom ARP-meddelanden, och tillät endast injektion av 3 till 7 paket med högst 28 byte. Beck-Tews-attacken kräver också servicekvalitet (enligt definitionen i 802.11e) för att aktiveras, medan Vanhoef-Piessens-attacken inte gör det. Ingen av attackerna leder till återställning av den delade sessionsnyckeln mellan klienten och åtkomstpunkten. Författarna säger att använda ett kort rekeying intervall kan förhindra vissa attacker men inte alla, och rekommenderar starkt att byta från TKIP till AES-baserad CCMP.
Halvorsen och andra visar hur man ändrar Beck-Tews-attacken för att tillåta injektion av 3 till 7 paket med en storlek på högst 596 byte. Nackdelen är att deras attack kräver betydligt mer tid att utföra: cirka 18 minuter och 25 sekunder. I annat arbete visade Vanhoef och Piessens att när WPA används för att kryptera sändningspaket kan deras ursprungliga attack också utföras. Detta är en viktig förlängning, eftersom betydligt fler nätverk använder WPA för att skydda sändningspaket än för att skydda unicast-paket. Exekveringstiden för denna attack är i genomsnitt cirka 7 minuter, jämfört med de 14 minuterna av den ursprungliga Vanhoef-Piessens och Beck-Tews-attacken.
sårbarheterna hos TKIP är signifikanta genom att WPA-TKIP hade ansetts vara en extremt säker kombination; faktum är att WPA-TKIP fortfarande är ett konfigurationsalternativ på en mängd olika trådlösa routningsenheter som tillhandahålls av många hårdvaruleverantörer. En undersökning 2013 visade att 71% fortfarande tillåter användning av TKIP, och 19% stöder uteslutande TKIP.
WPS PIN recoveryEdit
en mer allvarlig säkerhetsbrist avslöjades i December 2011 av Stefan Viehb Jacobck som påverkar trådlösa routrar med Wi-Fi Protected Setup (WPS) – funktionen, oavsett vilken krypteringsmetod de använder. De senaste modellerna har den här funktionen och aktiverar den som standard. Många tillverkare av Wi-Fi-enheter för konsumenter hade vidtagit åtgärder för att eliminera potentialen för svaga lösenordsval genom att främja alternativa metoder för att automatiskt generera och distribuera starka nycklar när användare lägger till en ny trådlös adapter eller apparat i ett nätverk. Dessa metoder inkluderar att trycka på knappar på enheterna eller ange en 8-siffrig PIN-kod.
Wi-Fi Alliance standardiserade dessa metoder som Wi-Fi Protected Setup; men PIN-funktionen som allmänt implementerad introducerade en stor ny säkerhetsfel. Felet gör det möjligt för en fjärrangripare att återställa WPS-PIN-koden och därmed routerns WPA/WPA2-lösenord om några timmar. Användare har uppmanats att stänga av WPS-funktionen, även om detta kanske inte är möjligt på vissa routermodeller. PIN-koden skrivs också på en etikett på de flesta Wi-Fi-routrar med WPS och kan inte ändras om det äventyras.
WPA3 introducerar ett nytt alternativ för konfiguration av enheter som saknar tillräckliga användargränssnitt genom att låta närliggande enheter fungera som ett adekvat användargränssnitt för nätverkstillhandahållandeändamål, vilket mildrar behovet av WPS.
MS-CHAPv2 och brist på AAA-server CN validationEdit
flera svagheter har hittats i MS-CHAPv2, av vilka några kraftigt minskar komplexiteten hos brute-force-attacker, vilket gör dem genomförbara med modern hårdvara. 2012 reducerades komplexiteten i att bryta MS-CHAPv2 till att bryta en enda DES-nyckel, arbete av Moxie Marlinspike och Marsh Ray. Moxie rådde: ”företag som är beroende av de ömsesidiga autentiseringsegenskaperna för MS-CHAPv2 för anslutning till sina WPA2 Radius-servrar bör omedelbart börja migrera till något annat.”
Tunnelerade EAP-metoder som använder TTLS eller PEAP som krypterar mschapv2-utbytet används i stor utsträckning för att skydda mot utnyttjande av denna sårbarhet. Vanliga WPA2-klientimplementeringar under början av 2000-talet var dock benägna att felkonfiguration av slutanvändare, eller i vissa fall (t.ex. Android) saknade något användartillgängligt sätt att korrekt konfigurera validering av AAA-servercertifikat CNs. Detta utvidgade relevansen av den ursprungliga svagheten i MSCHAPv2 inom MITM-attackscenarier. Under strängare WPA2-överensstämmelsetester som tillkännages tillsammans med WPA3 kommer certifierad klientprogramvara att krävas för att överensstämma med vissa beteenden kring AAA-certifikatvalidering.
Hole196Edit
Hole196 är en sårbarhet i WPA2-protokollet som missbrukar den delade grupp Temporal Key (GTK). Det kan användas för att utföra man-in-the-middle och denial-of-service attacker. Det antar dock att angriparen redan är autentiserad mot åtkomstpunkten och därmed har GTK.
Predictable Group Temporal Key (GTK)redigera
i 2016 visades att WPA-och WPA2-standarderna innehåller en osäker expository random number generator (RNG). Forskare visade att om leverantörer implementerar den föreslagna RNG, kan en angripare förutsäga gruppnyckeln (GTK) som ska genereras slumpmässigt av åtkomstpunkten (AP). Dessutom visade de att innehav av GTK gör det möjligt för angriparen att injicera all trafik i nätverket och tillät angriparen att dekryptera unicast-Internettrafik som överförs via det trådlösa nätverket. De demonstrerade sin attack mot en Asus RT-AC51U-router som använder MediaTek Out-of-tree-drivrutiner, som genererar GTK själva, och visade att GTK kan återvinnas inom två minuter eller mindre. På samma sätt visade de nycklarna som genererades av Broadcom access-demoner som körs på VxWorks 5 och senare kan återvinnas på fyra minuter eller mindre, vilket till exempel påverkar vissa versioner av Linksys WRT54G och vissa Apple AirPort Extreme-modeller. Leverantörer kan försvara sig mot denna attack genom att använda en säker RNG. Genom att göra det är Hostapd som körs på Linux-kärnor inte sårbart mot denna attack och därmed visar routrar som kör typiska OpenWrt-eller LEDE-installationer inte problemet.
KRACK attackEdit
i oktober 2017 publicerades detaljer om KRACK-attacken (Key Reinstallation Attack) på WPA2. KRACK-attacken tros påverka alla varianter av WPA och WPA2; dock varierar säkerhetsimplikationerna mellan implementeringar, beroende på hur enskilda utvecklare tolkade en dåligt specificerad del av standarden. Programfixar kan lösa sårbarheten men är inte tillgängliga för alla enheter.
Dragonblood attackEdit
i April 2019 hittades allvarliga designfel i WPA3 som gjorde det möjligt för angripare att utföra nedgraderingsattacker och sidokanalattacker, vilket möjliggjorde brute-forcing lösenfrasen, samt att starta denial-of-service-attacker på Wi-Fi-basstationer.