WPA3, cos'è e come funziona: più sicurezza per le reti WiFi

Dopo ben 14 anni il protocollo WPA (Wi-Fi Protected Access), progettato per la protezione delle reti WiFi, si aggiorna.
Quando un client si collega a un dispositivo wireless (router WiFi, access point,…) la password che viene richiesta per il collegamento viene oggi solitamente gestita ricorrendo all’algoritmo WPA2.

La Wi-Fi Alliance ha oggi presentato ufficialmente WPA3 dando il via alla sua implementazione nei dispositivi wireless di tutti i produttori hardware.

WPA e WPA2 sono stati definiti, prima l’uno (nel 1999) e poi l’altro (nel 2004), per superare le gravi debolezze di cui soffre il vetusto algoritmo WEP.
Fino a qualche tempo fa, per proteggere adeguatamente una rete WiFi era tipicamente sufficiente proteggerla con WPA2 e una parola chiave sufficientemente lunga e complessa.

WPA2, pur offrendo numerose migliorie in termini di sicurezza rispetto a WPA, soffre comunque l’utilizzo di password deboli. L’algoritmo è infatti vulnerabile ad attacchi brute force che possono avere successo quando l’utente usa password semplici.
Inoltre, viene sempre consigliato di non usare un SSID (identificativo della rete WiFi) molto comune (non deve trovarsi tra i primi 1.000 contenuti in questo elenco) perché gli aggressori possono usare tabelle arcobaleno (rainbow tables) pregenerate per sveltire l’attacco.

Molto comuni gli attacchi che sfruttano l’utilizzo del PIN WPS sul router WiFi per guadagnare l’accesso non autorizzato alla rete WiFi: È davvero possibile rubare le password WiFi?.

Di recente il ricercatore Mathy Vanhoef ha dimostrato che è addirittura possibile leggere il contenuto dei pacchetti dati che transitano tra router/access point WiFi protetti con WPA/WPA2 e i dispositivi client senza neppure il bisogno di craccare la password usata a protezione della rete wireless altrui.
Dopo l’annuncio della scoperta, i produttori di dispositivi WiFi sono subito corsi ai ripari (KRACK: vulnerabilità nel protocollo WPA2. Lista dei dispositivi aggiornati) rilasciando delle patch correttive.
Il problema, però, riguarda lo standard in sé e gli aggiornamenti di sicurezza non sono stati assolutamente rilasciati per la totalità dei dispositivi in circolazione.

Il passaggio a una nuova e più sicura versione di WPA è quindi divenuta una tappa obbligata e WPA3 si prefigge di accantonare finalmente le lacune della precedente versione del protocollo.

WPA3, cos’è e come funziona il successore degli attuali algoritmi per la protezione delle reti WiFi

Dal punto di vista strettamente tecnico, è la Wi-Fi Alliance, associazione non a scopo di lucro formata da alcuni tra i principali “big” dell’industria (fra i nomi più importanti ci sono quelli di Apple, Samsung, Sony, LG, Intel, Dell, Broadcom, Cisco, Qualcomm, Motorola, Microsoft e Texas Instruments), che rilascia le certificazioni WPA2 e, d’ora in avanti, WPA3.

In altre parole, tutti i dispositivi WiFi per i quali il produttore voglia esporre il logo “Wi-Fi CERTIFIED WPA2” o “Wi-Fi CERTIFIED WPA3” deve attenersi scrupolosamente alle specifiche pubblicate dalla WiFi per l’implementazione dei due algoritmi e superare le verifiche di rito.

Le novità di WPA3 e le differenze rispetto a WPA2 sono essenzialmente quattro:

1) Maggiore sicurezza durante l’utilizzo delle reti WiFi pubbliche

Allo stato attuale, quando si utilizzano reti WiFi pubbliche (si pensi a quelle in aeroporto, in hotel, presso bar e ristoranti, strutture ricettive, luoghi pubblici in generale) la sicurezza delle stesse è un punto interrogativo.
Il traffico di rete generato dal proprio dispositivo (eccetto quello crittografato, ad esempio quello veicolato via HTTPS), una volta connessi a una rete WiFi pubblica, potrebbe infatti essere letto da parte di terzi, collegati al medesimo router o access point. Per questo motivo abbiamo sempre consigliato l’uso di una VPN in tali frangenti.
L’impiego di una VPN offre le migliori garanzie quando si usa una WiFi pubblica gestita da terzi (vedere anche Lavorare viaggiando, come avere il proprio ufficio sempre con sé al paragrafo Collegarsi alla rete di casa o dell’ufficio da remoto).
Se si disponesse di un server VPN a casa o in ufficio (i router più completi e versatili supportano OpenVPN; vedere OpenVPN: come attivare il server VPN sul router) si potrà stabilire un collegamento cifrato da remoto oppure si potrà ricorrere a un servizio VPN di terze parti, da scegliere con attenzione: vedere Le migliori VPN a confronto. E anche le peggiori e Navigare anonimi senza che neppure il provider possa monitorare i siti visitati.

WPA3 permette di superare questi problemi attivando la cifratura individuale dei dati: ogniqualvolta ci si connetterà a una WiFi pubblica, tutto il traffico scambiato tra il singolo dispositivo e l’access point verrà crittografato, anche se non fosse stato richiesto l’inserimento di una password al momento della connessione (rete aperta).

2) Migliore protezione contro gli attacchi brute force

Ogni volta che un dispositivo si collega a un access point WiFi viene avviata una procedura detta handshake che permette di verificare la correttezza della password inserita e procedere con la negoziazione della connessione.
La procedura di handshake si è rivelata vulnerabile ad attacchi (attacco KRACK visto in precedenza) sebbene le patch rilasciate dai vari produttori hardware permettano di annullare i rischi di aggressione.

WPA3 stabilisce una modalità nuova per l’effettuazione dell’handshake, robusta e impossibile da forzare come avvenuto nel caso di KRACK.
La soluzione scelta è talmente affidabile che rende sicura la rete WiFi anche quando il gestore della stessa avesse scelto una password semplice.

Mathy Vanhoef, l’autore della scoperta relativa alle vulnerabilità di WPA2, si è dichiarato entusiasta delle novità introdotte in WPA3: usando questo protocollo sarà possibile porsi alle spalle KRACK e i rischi di monitoraggio della connessione di rete da parte di terzi.

3) Connessione più semplice e veloce per i dispositivi WiFi sprovvisti di display

Il mondo è cambiato tanto nel corso degli ultimi anni ed è oggi cosa sempre più comune interfacciarsi con dispositivi WiFi che non dispongono di un display.
Si pensi a dispositivi come Google Home e Amazon Echo ma anche alle videocamere wireless, agli elettrodomestici di nuova generazione, a tutti i dispositivi per la domotica e la smart home, ai device che appartengono al mondo dell’Internet delle Cose (IoT).

Per collegare questi dispositivi alla rete WiFi è tipicamente necessario installare un’app o collegarsi al server web locale installato su tali device usando un altro terminale connesso alla medesima LAN.

WPA3 include una funzionalità che si prefigge di semplificare il processo di configurazione di ciascun dispositivo WiFi sprovvisto di display.

La WiFi Alliance ad oggi non ha ancora chiarito di che cosa si tratterà ma è altamente probabile che possa trattarsi di una sorta di pulsante WPS (Wi-Fi Protected Setup) migliorato.

4) Un maggior livello di sicurezza per le applicazioni industriali

Da ultimo, WPA3 abbraccia una suite per la sicurezza a 192 bit che renderà l’utilizzo del nuovo protocollo adatto per tutte le applicazioni in cui la riservatezza dei dati è aspetto essenziale.
Tant’è vero che le specifiche che saranno approvate permetteranno di attivare una protezione military grade utilizzabile anche dagli enti governativi e dalle aziende per applicazioni industriali.

L’obiettivo è quello di ottenere l’endorsement dell’agenzia di sicurezza nazionale statunitense e venire incontro alle richieste del governo USA per l’attivazione di un sistema crittografico più solido sulle WiFi che veicolano dati “sensibili”.

Quando arriveranno sul mercato i primi dispositivi WPA3

Diciamo subito che se non si avesse l’esigenza pressante di sostituire il proprio router WiFi, si potrebbe attendere ancora qualche mese (Router WiFi potente, come sceglierlo: guida all’acquisto) così da scegliere tra i primi dispositivi WPA3 in commercio.

Con l’approvazione odierna delle specifiche finali di WPA3, i primi dispositivi compatibili potrebbero arrivare sul mercato già dopo l’estate.

La WiFi Alliance non ha fatto menzione circa le possibili modalità di gestione degli attuali dispositivi wireless compatibili WPA2 ma non, ovviamente, WPA3.
È lecito ipotizzare che gli attuali router non siano destinati a ricevere il supporto WPA3.
Se infatti in linea di principio i produttori hardware potrebbero rilasciare aggiornamenti del firmware per introdurre il supporto WPA3 negli attuali device, è difficile che ciò avvenga.

Al massimo firmware aggiornati in grado di attivare WPA3 accanto a WPA2 potranno essere messi a disposizione degli utenti solo con riferimento ai router più evoluti, professionali e costosi. È invece assai più probabile che i produttori si concentrino sullo sviluppo di nuovo hardware.

Vale la pena osservare, poi, che per ogni router WiFi WPA3 si dovranno usare client wireless a loro volta compatibili con WPA3. Diversamente non si potranno sfruttare le nuove caratteristiche del protocollo WPA3.
La buona notizia è che lo stesso router compatibile WPA3 potrà allo stesso tempo accettare anche connessioni WPA2. Inoltre, anche quando WPA3 sarà sufficientemente diffuso, ci si dovrà attendere un periodo transitorio piuttosto lungo in cui alcuni dispositivi saranno collegati al router mediante WPA3 mentre altri attraverso WPA2.