WPA3: A Vanguarda da Segurança do WiFi
Para ser eficaz, a segurança do Wi-Fi precisa acompanhar as ameaças cibernéticas em rápida evolução, e é aí que entra o padrão WPA3 para tornar as redes privadas e públicas mais resilientes.
Para se prepararem para esse novo nível de proteção, residências e empresas devem analisar a cobertura da rede utilizando ferramentas como o NetSpot a fim de permitirem uma cobertura completa ao instalar os novos roteadores e extensores de WiFi.
O que é o WPA3
Toda nova geração de tecnologia de computadores traz consigo novas promessas e novos problemas. Quando as primeiras universidades permitiram que os usuários se conectassem a mainframes poderosos, estudantes indisciplinados encontraram maneiras de acessar as informações de outros alunos para fazer brincadeiras entre si, exigindo a criação de proteção por senha e direitos de acesso.
Hoje, computadores e redes sem fio estão presentes em todos os aspectos da vida, desde escolas, hospitais, empresas, bibliotecas, cafés e até ônibus. E com todo esse acesso, há necessidade de uma rede WiFi segura. Uma pessoa que usa o seu laptop para transmitir a senha da sua conta bancária pelo ar pode ser hackeada.
O maior problema em permitir o acesso a uma rede Wi-Fi local não é apenas a criptografia Wi-Fi, mas como registrar dispositivos na rede Wi-Fi. Se houver uma senha compartilhada, qualquer pessoa que a anote ou a compartilhe com outra pessoa corre o risco de ter alguém não autorizado acessando a rede.
Para quem é dos velhos tempos, lembra da cena do filme "Jogos de Guerra", em que o personagem de Matthew Broderick é detido propositalmente para encontrar a senha da rede anotada na mesa de uma secretária? Os hackers usam a mesma técnica quando alguém anota a senha do WiFi em um Post-It e o deixa na mesa, assim eles podem obter acesso à rede e começar a capturar os pacotes.
A segurança WPA3 foi projetada para evitar que isso aconteça. Em vez de confiar em senhas compartilhadas, o WPA3 registra novos dispositivos por meio de processos que não exigem o uso de uma senha compartilhada.
Esse novo sistema chamado DPP (Device Provisioning Protocol) funciona transmitindo a maneira de obter acesso ao sistema ao invés de transmitir a senha pelo ar. Com o DPP, os usuários usam códigos QR ou tags NFC para permitir a entrada de dispositivos na rede. Tirando uma foto ou recebendo um sinal de rádio do roteador, um dispositivo pode ser autenticado na rede sem sacrificar a segurança.
A criptografia WPA3 é projetada para ser melhor do que as iterações anteriores da tecnologia WiFi. Primeiro, como a mudança dos navegadores Google Chrome e Firefox para alertar ou impedir completamente os usuários de se conectarem a servidores Web inseguros, a segurança WPA3 descarta mecanismos de criptografia mais antigos em favor daqueles que nunca foram quebrados.
É verdade que nada dura para sempre no mundo da segurança, mas a Criptografia WPA3 é coberta pelo GCMP-256 (Galois/Counter Mode Protocol) de 256 bits, a tornando muito mais difícil de ser quebrada e invadida.
Qual é o tamanho de um número de 256 bits? Os algoritmos de criptografia anteriores funcionavam com a criptografia de 128 bits. Em termos matemáticos, é 3,048 x 10^38 — isso significa um 3 seguido por 38 zeros — essa é a quantidade de cálculos que um computador precisará fazer para descobrir a chave de criptografia.
Criptografia de 256 bits? É 1,15 x 10^77 — 1 seguido por 77 zeros. Há um número menor de átomos conhecidos no universo do que esse número. Há menos episódios de Judge Judy do que esse número. A quantidade de vezes que alguém perguntou: "Explique o enredo do filme Inception" é menor que esse número.
É um grande número.
Ao transferir chaves de criptografia entre o roteador e os dispositivos, o WPA3 WiFi Security usa o HMAC (Hashed Message Authentication Mode) de 384 bits para que o dispositivo e o roteador confirmem a conexão, mas de uma maneira que, mesmo que alguém capture a comunicação entre eles, seja possível descobrir a chave de criptografia original.
É como os falantes do código Navajo na Segunda Guerra Mundial que usavam códigos enquanto falavam um idioma que ninguém mais entendia no mundo. Mesmo se um terceiro pudesse capturar os sinais de rádio, nada faria sentido. Mesmo que o inimigo também falasse Navajo, precisaria conhecer a estrutura de código adicional para entender o que a mensagem realmente significava.
É assim que o WPA3 mantém as comunicações seguras — com melhor criptografia, melhores maneiras de configurá-la e métodos que impedem as pessoas que se conectam à rede de conhecerem as senhas.
-
Obtenha NetSpot
macOS 11+, Windows 7/8/10/11
Principais Formas do WPA3
Para atender às necessidades de diferentes categorias de usuários de WiFi, o WPA3 vem em várias formas principais. Compreender as diferenças entre elas pode ajudá-lo a aproveitar ao máximo suas características de segurança.
WPA3 Personal
Os usuários domésticos devem usar a forma WPA3 Personal, que depende da autenticação baseada em frase secreta. Essa forma oferece uma experiência de usuário familiar, mas com um nível de proteção muito superior contra a quebra de senha por força bruta, graças ao Simultaneous Authentication of Equals (SAE).
O WPA3 SAE substitui o método de autenticação Pre-Shared Key (PSK) utilizado em versões anteriores do WPA para gerar uma chave completamente única para cada autenticação.
Como resultado, os atacantes perdem a capacidade de realizar ataques de tamanho inválido em pacotes de dados capturados para superar as defesas da rede-alvo. Além disso, membros da mesma rede não podem espionar o tráfego de outros membros.
WPA3 Enterprise
O WPA3 Enterprise estende a sólida base fornecida pelo WPA2 Enterprise, tornando obrigatório o uso de Protected Management Frames (PMF) em todas as conexões. Esse recurso de segurança protege contra ataques perigosos como honeypots e espionagem.
Para proteger melhor os dados mais sensíveis, o WPA3 Enterprise pode operar opcionalmente em um modo especial de 192 bits. Esse modo não é necessário para atingir um nível satisfatório de segurança, mas todas as empresas são incentivadas a aproveitá-lo para desfrutar da melhor proteção disponível.
WiFi Enhanced Open
Redes WiFi públicas não criptografadas representam uma grande ameaça, e muitos usuários de WiFi nem sequer sabem o quão perigosas elas podem ser. O WiFi Enhanced Open aborda esse problema fornecendo criptografia de dados não autenticada baseada em criptografia sem fio oportunista (OWE).
A criptografia de dados não autenticada preserva a conveniência das redes WiFi públicas, já que dispensa o uso de senhas, tornando a ativação dessa função uma escolha segura e viável.
WPA3 Personal vs WPA3 Enterprise
Na escolha entre WPA3 Personal e WPA3 Enterprise, é importante considerar o ambiente alvo. Embora os usuários domésticos possam se beneficiar da proteção superior oferecida pelo WPA3 Enterprise e seu modo de 192 bits, a dificuldade aumentada na configuração pode superar os benefícios.
Quais são as fraquezas do WPA3?
O Acesso Protegido Wi-Fi 3 (WPA3) foi introduzido para melhorar a segurança das redes sem fio, abordando vulnerabilidades encontradas em seu antecessor, o WPA2. No entanto, como qualquer padrão de segurança, o WPA3 tem suas fraquezas e vulnerabilidades que os atacantes podem explorar. Aqui estão algumas das principais fraquezas identificadas no WPA3:
- Vulnerabilidades no Handshake Dragonfly: O WPA3 implementa um novo protocolo de handshake chamado Dragonfly (ou Autenticação Simultânea de Iguais, SAE), destinado a oferecer proteção contra ataques de dicionário offline. No entanto, pesquisadores encontraram vulnerabilidades neste processo de handshake que poderiam potencialmente permitir que atacantes realizassem ataques de canal lateral, como ataques baseados em tempo ou cache, para recuperar informações sobre a senha utilizada.
- Ataques de Downgrade: Embora o WPA3 seja projetado para ser mais seguro que o WPA2, as redes frequentemente suportam ambos os padrões para garantir a compatibilidade reversa. Isso abre a possibilidade para ataques de downgrade, onde um atacante força um dispositivo a se conectar usando o protocolo WPA2 menos seguro, contornando assim os aprimoramentos de segurança do WPA3.
- Falhas de Implementação: A segurança de um sistema também depende de quão bem os protocolos de segurança são implementados. No início, algumas implementações do WPA3 foram encontradas susceptíveis a vários ataques devido a falhas em como o handshake Dragonfly foi implementado. Essas questões permitem que atacantes contornem os mecanismos de segurança do WPA3 sob certas condições.
- Adoção Limitada e Problemas de Compatibilidade: A eficácia das melhorias de segurança do WPA3 é limitada pela sua taxa de adoção. Muitos dispositivos ainda usam protocolos de segurança Wi-Fi mais antigos devido a limitações de hardware ou falta de atualizações de firmware. Essa lenta taxa de adoção significa que muitas redes permanecem vulneráveis a ataques que o WPA3 foi projetado para mitigar.
Em conclusão, embora o WPA3 represente um passo significativo à frente na segurança de redes sem fio, não está isento de suas fraquezas. Pesquisas e atualizações contínuas são essenciais para abordar essas vulnerabilidades e melhorar a segurança das redes sem fio.
-
Obtenha NetSpot
macOS 11+, Windows 7/8/10/11
WPA3 vs. WPA2. Como o WPA3 difere do WPA2?
O WPA3, como mencionado anteriormente, oferece uma abordagem diferente em relação à segurança do WiFi. A maioria das pessoas se conecta a redes WPA2 através do compartilhamento de senhas (prática ruim) ou do uso do WPS, que é conveniente: basta pressionar um botão no roteador e no dispositivo simultaneamente para conectar ambos.
O problema é que o WPS envia um pin de 23 bits como parte do processo de registro. Só que 23 bits é pouco comparado aos hashes de 384 bits que o WPA3 usará para conectar dispositivos à roteadores. Um hacker inteligente pode sentar-se e esperar que as 9 milhões de tentativas sejam executados — o que para um computador comum leva cerca de um minuto — para obter acesso ao roteador. Basta sentar-se, aguardar o sinal WPS ser enviado e o hacker está dentro.
E também há o nível de criptografia para redes abertas. Entrar em uma cafeteria ou conectar um telefone à rede de um shopping significa conectar o seu aparelho a uma rede aberta. Faz sentido. Se conectar a uma rede WiFi que tenha uma senha compartilhada geralmente é inconveniente demais para os clientes da loja.
O problema é que em uma rede wifi aberta pode sempre haver um hacker escutando o sinal e tentando decriptografar as comunicações entre o seu aparelho e os sites de bancos ou caixas eletrônicos. Então voltamos a pessoas não autorizadas que ouvem senhas bancárias e números de cartão de crédito.
A segurança WPA3 triunfar sobre os sistemas WPA2
A segurança WPA3 parece triunfar sobre os sistemas WPA2 quando se trata de redes abertas com um sistema de proteção aprimorado. Os roteadores WPA3 usarão o WiFi CERTIFIED Enhanced Open — isso significa que, mesmo quando os dispositivos se conectam ao roteador WiFi de uma rede aberta, existirá uma criptografia forte entre o dispositivo e o roteador.
Portanto, mesmo que um hacker esteja ouvindo, primeiro eles precisam quebrar a criptografia WiFi e depois quebrar um conjunto totalmente diferente de criptografia entre o navegador da web e o banco ou o caixa eletrônico ou os sistemas financeiros nas quais você está se comunicando. Nada é absolutamente seguro, mas fazer com que usuários não autorizados trabalhem duas vezes mais para obter as informações que não deveriam ter deixa as coisas bem mais seguras.
| WPA2 | |
| Nome completo | Wi-Fi Protegido Acesso 2 |
| Lançado | 2004 |
| Método de criptografia | AES-CCMP |
| Tamanho da chave da sessão | 128 bits |
| Método de autenticação de sessão | Pre-Shared Key (PSK) |
| Ataques de força bruta | Vulnerável |
| WPA3 | |
| Nome completo | Wi-Fi Protegido Acesso 3 |
| Lançado | 2018 |
| Método de criptografia | AES-CCMP / AES-GCMP |
| Tamanho da chave da sessão | 128 bits / 256 bits |
| Método de autenticação de sessão | Simultaneous Authentication of Equals (SAE) |
| Ataques de força bruta | Não vulnerável |
Como verificar o tipo de criptografia Wi-Fi com o NetSpot
Antes de se conectar a uma rede Wi-Fi desconhecida, é fundamental verificar o nível de criptografia da rede para saber o quão bem ela protege seus dados contra invasores mal-intencionados. Isso é ainda mais importante quando a rede está em um ambiente público, já que cibercriminosos podem usar ferramentas de detecção de pacotes para acessar informações privadas.
Felizmente, você pode verificar facilmente o status de criptografia de uma rede Wi-Fi usando o NetSpot:
Baixe e instale o NetSpot em seu laptop ou computador desktop equipado com uma placa de rede Wi-Fi.
Abra o NetSpot. Por padrão, o app abre no Modo Inspetor. E é dele que você precisa para ver o tipo de segurança Wi-Fi das redes vizinhas.
Analise as redes Wi-Fi ao seu redor, faça levantamentos da rede sem fio e teste a velocidade da Internet — tudo com apenas um celular ou tablet em suas mãos.
Conclusione
O padrão de segurança WPA3 foi lançado em 2018 para enfrentar as mais recentes ameaças de segurança cibernética e já é suportado por todos os roteadores certificados WiFi 6. Quem puder, deve utiliza-lo para melhorar a segurança cibernética de sua rede Wi-Fi, pois ele pode fazer toda a diferença na hora de um ataque.
-
Obtenha NetSpot
macOS 11+, Windows 7/8/10/11
WPA3 FAQs
Tanto o WPA2 (Wi-Fi Protected Access 2) quanto o WPA3 (Wi-Fi Protected Access 3) são padrões de certificação de segurança desenvolvidos pela Wi-Fi Alliance. O WPA3 é o sucessor do WPA2 e oferece diversas melhorias para enfrentar as deficiências do seu antecessor.
O WPA3 é consideravelmente mais seguro do que o WPA2, portanto, você deve usá-lo sempre que possível.
WPA3 Personal é uma das várias formas de WPA3, destinada a usuários domésticos em vez de empresas.
Sim, o WPA3 é mais seguro do que o WPA2 porque usa Simultaneous Authentication of Equals (SAE) em vez de Pre-Shared Key (PSK), entre outras coisas.
Não, nem todos os dispositivos WiFi suportam o WPA3. Apenas dispositivos certificados WiFi 6 garantem suporte ao padrão.
Os roteadores WiFi 6 usam o WPA3 para garantir a comunicação com dispositivos compatíveis com WPA3. Além disso, eles também são compatíveis com dispositivos que suportam apenas o WPA2.
Levantamento de Locais, Análise e Solução de Problemas WiFi roda em MacBook (macOS 11+) ou em qualquer laptop (Windows 7/8/10/11) que tenha um adaptador de rede sem fio padrão 802.11a/b/g/n/ac/ax.
A criptografia WPA3 é projetada para ser melhor do que as iterações