Ngày 25/06/2018, WiFi Alliance - tổ chức quản lý công nghệ WiFi đã tuyên bố chính thức phát hành WPA3. Đây là chuẩn WPA (WiFi Protected Access) mới nhất, công nghệ xác thực người dùng cho các kết nối WiFi.
Tin tức về việc WiFi Alliance đang chuẩn bị cho ra chuẩn mới đã được tiết lộ từ hồi tháng Một. Tổ chức này bắt đầu làm việc trên chuẩn mới sau khi một nhà nghiên cứu an ninh mạng tiết lộ KRACK - một lỗ hổng trên giao thức bảo mật WiFi WPA2 khiến kẻ tấn công có thể truy cập vào quá trình truyền tải WiFi được WPA2 bảo vệ.
WPA3 hiện đang là lựa chọn tùy chọn cho các thiết bị mới nhưng nó sẽ hoạt động trên tất cả các thiết bị đáp ứng được chuẩn này trong những năm tới. Ngày cụ thể chưa được tiết lộ nhưng WPA3 vẫn sẽ giữ khả năng tương tác với các thiết bị WPA2 cũ để đảm bảo quá trình chuyển sang WPA3 không bị chồng chéo.
WPA3-Personal và WPA3-Enterprise
Cũng như WPA1 và WPA2, WPA3 cũng có 2 chế độ bảo mật là Personal và Enterprise, điểm khác biệt chính là ở giai đoạn xác thực. WPA3 sử dụng thuật toán SAE (Simultaneous Authentication of Equals) thay cho PSK (Preshared Key) trên WPA2-Personal, trong khi WPA3-Enteprise có nhiều tính năng nâng cao hơn thay cho IEEE 802.1X từ WPA2-Enterprise, gồm:
- Authenticated encryption: 256-bit Galois/Counter Mode Protocol (GCMP-256)
- Key derivation and confirmation: 384-bit Hashed Message Authentication Mode (HMAC) với Secure Hash Algorithm (HMAC-SHA384)
- Key establishment and authentication: Trao đổi Elliptic Curve Diffie-Hellman (ECDH) và Elliptic Curve Digital Signature Algorithm (ECDSA) dùng đường cong Elliptic 384-bit
- Robust management frame protection: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)
WPA3 thay thế cho chuẩn WPA2 đã 14 năm tuổi đời
Chế độ Enterprise khuyến khích dùng trong doanh nghiệp, chính phủ, mạng lưới tài chính. Personal là chuẩn hầu hết người bình thường sẽ dùng.
WPA3 chống lại tấn công từ điển
WiFi Alliance cho biết SAE của WPA3 sẽ hạn chế kiểu tấn công từ điển offline khi kẻ tấn công cố đoán mật khẩu WiFi bằng cách thử nhiều lần. Chuyên gia an ninh nói rằng WPA3 sẽ chặn yêu cầu xác thực sau vài lần thử, từ đó giới hạn ảnh hưởng của tấn công thử sai.
SAE của WPA3 cũng dùng phương pháp mã hóa có tên forward secrecy (mã hóa về phía trước), tính năng của giao thức xác thực trao đổi khóa nơi các khóa trong phiên hoạt động độc lập và không bị mất ngay cả khi khóa máy chủ đã bị lộ. Điều này giúp kẻ tấn công có được mật khẩu WiFi cũng không thể giải mã các traffic cũ được gửi trong mạng do các thành viên khác.
WiFi Easy Connect cho WPA2 và WPA 3
Một tính năng WiFi khác cũng được tuyên bố cùng WPA3, đó là WiFi Easy Connect, hướng tới các thiết bị thông minh (IoT) không có màn hình để thay đổi cấu hình mạng WiFi. Ví dụ có thể dùng điện thoại/máy tính bảng để cấu hình WiFi WPA3 cho các thiết bị khác.
WiFi Allian cho biết WiFi Easy Connect sẽ có trên các thiết bị chạy cả WPA2 và WPA3, không phải chỉ có trên WPA3.
WiFi Enhanced Open
Đầu tháng, WiFi Alliance cũng tuyên bố ra đời WiFi Enhanced Open, công nghệ độc quyền chỉ triển khai trên mạng WiFi mở như ở sân bay, quán cà phê… Công nghệ này dùng thuật toán OWE (Opportunistic Wireless Encryption) để mã hóa từng kết nối giữa người dùng WiFi và điểm truy cập/router bằng key mã hóa tùy biến riêng.
Kiểu mã hóa cho từng người dùng này giúp kẻ tấn công không thể nhòm ngó traffic người dùng ngay cả khi mạng không có mật khẩu.
Xem thêm: