Wi-Fi Protected Access

Auf der Bodenseite eines DSL-Routers aufgedruckter WPA-Schlüssel

Wi-Fi Protected Access (WPA) ist eine Verschlüsselungsmethode für ein Drahtlosnetzwerk (Wireless LAN). Nachdem sich die Wired Equivalent Privacy (WEP) des IEEE-Standards 802.11 als unsicher erwiesen hatte und sich die Verabschiedung des neuen Sicherheitsstandards IEEE 802.11i verzögerte, wurde durch die Wi-Fi Alliance eine Teilmenge von IEEE 802.11i vorweggenommen und unter dem Begriff WPA als Pseudostandard etabliert. Die Zertifizierung nach diesem Standard begann im April 2003. Die Nachfolger sind WPA2 und WPA3.

Funktionsweise

WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Teilnehmern Pre-shared key (PSK) oder Extensible Authentication Protocol (EAP) über IEEE 802.1X an.

WPA basiert auf der RC4-Stromchiffre, die schon für WEP genutzt wurde. Im Gegensatz zu WEP benutzt WPA nicht nur einen 48 Bit langen Initialisierungsvektor (IV), sondern verwendet für jedes Datenpaket einen neuen Schlüssel (Per-Packet Key Mixing und Re-Keying), sowie einen Message Integrity Check (MIC).

Die Authentifizierung über WPA wird meist in großen Wireless-LAN-Installationen angewendet, da dafür eine Authentifizierungsinstanz in Form eines Servers (z. B. ein RADIUS-Server) benötigt wird. In kleineren Netzwerken, wie sie im SoHo-Bereich (Small Office, Home Office) häufig auftreten, werden meist PSK (Pre-Shared-Keys) benutzt. Der PSK muss somit allen Teilnehmern des Wireless-LAN bekannt sein, da mit seiner Hilfe der Sitzungsschlüssel generiert wird.

Weiterentwicklung

Am 3. Februar 2004 wurde mit WPA2 die Erweiterung von WPA angekündigt. In WPA2 wurde nicht nur der vollständige IEEE 802.11i-Standard umgesetzt, sondern es verwendet mit AES (Advanced Encryption Standard) auch einen anderen Verschlüsselungsalgorithmus. Es gibt aber auch WPA-fähige Geräte, die AES beherrschen, ohne WPA2 zu unterstützen.

Seit 16. März 2015 wird von der Wi-Fi Alliance empfohlen, WPA aufgrund der bekannten Angreifbarkeit der zugrunde liegenden Verschlüsselung Temporal Key Integrity Protocol (TKIP) nicht mehr zu verwenden.[1]

Am 8. Januar 2018 hat die Wi-Fi Alliance wiederum WPA3 angekündigt, welches den aktuellen Standard ergänzen wird. Es werden offline Wörterbuchattacken verhindert[2] sowie Perfect Forward Secrecy erreicht.[2][3] Die neuen Funktionalitäten sollen Passwörter besser schützen, auch wenn sie nicht den typischen Komplexitätsregeln entsprechen. Zusätzlich wird der Prozess des Konfigurierens auf Geräten mit kleinem oder nicht vorhandenem Display vereinfacht. Zudem soll durch Opportunistic Wireless Encryption die Nutzer-Privatsphäre in offenen Netzwerken durch eine individualisierte Verschlüsselung gestärkt und eine 192-bit-Security-Suite eingeführt werden, von der vor allem Netzwerke mit höheren Sicherheitsbedürfnissen, wie sie Regierungen oder Unternehmen benötigen werden, profitieren.[4]

Angriffsmöglichkeiten

Bei Anwendung von Pre-Shared-Keys ist auf die Qualität des verwendeten Passworts zu achten. Ein Angreifer kann über die Brute-Force-Methode oder einen Wörterbuchangriff das Passwort erraten und so alle möglichen Varianten des Pre-Shared-Keys erzeugen. Bei hinreichend langem Passwort würde die Zeit dazu mit derzeit verfügbaren Maschinen jedoch zu lange dauern, um in sinnvoller Zeit einen Erfolg zu erzielen.

Um zu sehen, welcher der erzeugten Schlüssel passt, muss ein Anmeldevorgang, der von einem Angreifer jederzeit initiiert werden kann, mitgehört werden. Bei jeder Anmeldung findet gegenseitig eine indirekte Überprüfung der Schlüssel statt, die über einen MD5-Hash gesichert wird und mit dessen Hilfe man erzeugte Schlüssel auf ihre Richtigkeit prüfen kann.

Seit dem 28. April 2004 existiert für Wörterbuchangriffe ein Proof of Concept, das im Mac-OS-X-Programm KisMAC implementiert wurde.[5] Seit November 2004 existiert auch ein weiteres Programm, WPA Cracker für Linux, das einen Offline-Wörterbuchangriff anhand mitprotokollierter Pakete durchführt und im Quelltext vorliegt. Ein Brute-Force- oder Wörterbuchangriff auf den aufgezeichneten Vier-Wege-Handshake des TKIP-Protokolls ist mit dem Programm Cowpatty möglich.

Im August 2008 wurde in einem Beitrag im Nvidia-Entwicklerforum ein Programm veröffentlicht,[6] das Brute-Force-Angriffe gegen WPA durch Ausnutzen der Rechenleistung von GPGPU-fähigen Grafikkarten massiv beschleunigen kann. Dabei werden die zwar vergleichsweise niedrig getakteten, aber auf modernen Grafikkarten in hoher Anzahl untergebrachten Shader-Prozessoren genutzt, um mehrere Passwörter gleichzeitig in ihren jeweiligen Schlüssel umzurechnen. Das Programm ist seitdem unter der freien GPL-Lizenz öffentlich verfügbar.[7] Im Oktober 2008 veröffentlichte ein Anbieter auch ein kommerzielles Produkt, das mit ähnlicher Technik WPA unter Ausnutzung von Grafikkarten angreifen kann.[8]

Im November 2008 kam das Gerücht auf, dass WPA1-TKIP teilweise geknackt sei.[9][10] Dabei sei es möglich, mit größerem Aufwand einzelne Pakete zu entschlüsseln und teils manipuliert in die Verbindung zu schleusen. Details stellte der Entdecker Erik Tews[11] am 12. November 2008 in Tokio im Rahmen der Konferenz PacSec vor.[12]

Im August 2009 erläuterten Toshihiro Ohigashi (Universität Hiroshima) und Masakatsu Morii (Universität Kobe) in einem Fachaufsatz, wie der Angriff von Erik Tews zu beschleunigen ist. Im günstigsten Fall erfolgt der Angriff in einer Minute.[13][14]

Sicherheitsmaßnahmen

Wenn bei der Installation eines Funknetzes auf WPA nicht verzichtet werden kann (da gewisse zwingend benötigte Geräte kein WPA2 oder WPA3 unterstützen), ist die erste Maßnahme, ein hinreichend sicheres Passwort zu wählen (mind. 16 bis 20 Zeichen in einer Zeichenkombination, die in keinem Wörterbuch zu finden ist). Zudem sollten diese Geräte in ein separates (isoliertes) WLAN-Segment gelegt werden, das keinen Zugriff auf das gesamte dahinterliegende Netz hat, sondern nur auf die zwingend benötigten Aufgaben.

Um auf der sicheren Seite zu sein, sollte möglichst auf das WPA-Verfahren ganz verzichtet werden und stattdessen mindestens WPA2, besser aber WPA3 eingesetzt werden[15] – auch bei Einsatz der Authentifizierung teilnehmender Stationen via PSK (Pre-Shared Key).[16]

Eine Nutzer-Authentifizierung beim Betreten des Netzes via EAP ist zu bevorzugen, wenn:

  • eine größere Anzahl mobiler Geräte und Access Points eingesetzt werden und so der Wechsel des PSK bei dessen Kompromittierung nicht mehr praktikabel ist
  • der Verlust eines Gerätes nicht in angemessener Zeit auffällt oder
  • Geräte vorübergehend oder ständig in einem nicht vertrauenswürdigen Umfeld eingesetzt werden (z. B. an Dritte verliehen werden)

Aufgrund der Angriffe gegen WPA- und WPA2-PSK-Verfahren ist WPA3 zu bevorzugen. Allgemeine Sicherheitsmaßnahmen können dem Abschnitt Grundlegende Sicherheitsmaßnahmen des Hauptartikels Wireless Local Area Network entnommen werden.

Literatur

  • Roland Bless et al.: Sichere Netzwerkkommunikation. Springer Verlag, 2005, ISBN 3-540-21845-9.

Einzelnachweise

  1. Removal of TKIP from Wi-Fi® Devices. (PDF) Wi-Fi Alliance, 16. März 2015, abgerufen am 21. Oktober 2022 (englisch).
  2. a b Security. Wi-Fi Alliance, abgerufen am 13. Mai 2021 (englisch): „The technology is resistant to offline dictionary attacks where an adversary attempts to determine a network password by trying possible passwords without further network interaction.“
  3. Brian Barrett: The Next Generation of Wi-Fi Security Will Save You From Yourself. In: wired.com. 26. Juni 2018, abgerufen am 13. Mai 2021 (englisch).
  4. Wi-Fi Alliance Launches WPA2 Enhancements and Debuts WPA3. In: Dark Reading. (darkreading.com [abgerufen am 11. Januar 2018]).
  5. KisMAC
  6. Ankündigung, WPA-PSK mit Hilfe von GPUs anzugreifen im Nvidia-Entwicklerforum
  7. Open-Source Projekt bzgl. Angriff auf WPA mit Hilfe von GPUs: Pyrit
  8. Allround-PC.com: WPA2 Verschlüsselung geknackt (Memento des Originals vom 18. Oktober 2008 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.allround-pc.com, 6. November 2008
  9. Once thought safe, WPA Wi-Fi encryption is cracked. Archiviert vom Original am 5. Juni 2009; abgerufen am 8. März 2011.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.computerworld.com
  10. Heise: WPA angeblich in weniger als 15 Minuten knackbar
  11. Erik Tews
  12. Battered, but not broken: understanding the WPA crack
  13. A Practical Message Falsification Attack on WPA. (PDF; 547 kB) Abgerufen am 18. Oktober 2017.
  14. Heise: Angriff auf WPA verfeinert
  15. https://m.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html
  16. https://hashcat.net/forum/thread-7717.html New attack on WPA/WPA2 using PMKID 4. August 2018

Read other articles:

This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Romania–United States relations – news · newspapers · books · scholar · JSTOR (June 2012) This ...

 

National Trail following the River Thames in England Thames PathThe Thames Path sign near the end of the walk, by the Thames BarrierLength185 mi (298 km)LocationSouthern England, United KingdomDesignationUK National TrailTrailheadsKemble, Gloucestershire and WoolwichUseHiking, cyclingElevation change110mHighest point110mLowest point0mDifficultyEasySeasonAll yearSightsLondon, Hampton Court, Windsor, Oxford, Lechlade, CrickladeHazardsflooding The Thames Path is a National Trail follow...

 

Montenegro có 5 vườn quốc gia, bảo vệ một khu vực khoảng 10% lãnh thổ. Các vườn quốc gia tại Montenegro được quản lý bởi Cục Công viên quốc gia, một cơ quan trực thuộc chính phủ Montenegro (Montenegro: Nacionalni parkovi Crne Gore). Durmitor là vườn quốc gia duy nhất tại Montenegro được công nhận là một di sản thế giới. Tên Hình ảnh LVị trí Diện tích Thành lập Vườn quốc gia Durmitor Tây Bắc Mont...

Parliamentary constituency in the United Kingdom, 1950 onwards Hackney North and Stoke NewingtonBorough constituencyfor the House of CommonsBoundary of Hackney North and Stoke Newington in Greater LondonCountyGreater LondonElectorate92,462 (December 2019)[1]Current constituencyCreated1950Member of ParliamentDiane Abbott (Independent)SeatsOneCreated fromHackney North; Stoke Newington Hackney North and Stoke Newington is a constituency[n 1] represented in the House of Commons of...

 

日本ローカルの事柄については「2002年の日本」をご覧ください。 この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方)出典検索?: 2002年 – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL

 

Prefecture-level city in Tibet, ChinaLhasa ལྷ་ས་གྲོང་ཁྱེར།拉萨市Prefecture-level cityView of Lhasa from Potala PalaceLocation of Lhasa prefecture-level city jurisdiction in the Tibet Autonomous RegionCoordinates (Lhasa prefectural government): 29°39′12″N 91°10′19″E / 29.6534°N 91.1719°E / 29.6534; 91.1719CountryChinaAutonomous regionTibetMunicipal seatChengguan DistrictGovernment • TypePrefecture-level city&#...

Artikel ini sebatang kara, artinya tidak ada artikel lain yang memiliki pranala balik ke halaman ini.Bantulah menambah pranala ke artikel ini dari artikel yang berhubungan atau coba peralatan pencari pranala.Tag ini diberikan pada Januari 2023. Tuhan, Izinkan Aku Menjadi Pelacur Poster Cetakan Kedua dari Scripta ManentPengarangMuhiddin M DahlanBahasaBahasa IndonesiaSubjekNovelGenreSosialPenerbitScripta ManentTanggal terbit2003Halaman269ISBNISBN 979-99461-1-5 Tuhan, Izinkan Aku Menjadi Pe...

 

Israeli High Court judge Menachem Elonמנחם אלוןFormer Deputy President Supreme Court of IsraelSupreme Court of Israel judgeIn office1977–1993 Personal detailsBorn(1923-11-01)November 1, 1923Düsseldorf, GermanyDiedFebruary 6, 2013(2013-02-06) (aged 89)Jerusalem, IsraelNationalityIsraeliSpouseRuth Elon (Buchsbaum)Relatives Binyamin Elon (Son) Mordechai Elon (Son) Ari Elon (Son) Joseph (Sefi) Elon (Son) Emuna Elon (Married to the son) Alma mater Hebron Yeshiva Hebrew University o...

 

2014 Philippine television drama romance fantasy series Moon of DesireTitle cardGenre Drama Fantasy Sci-fi Romance Created byWilly LaconsayWritten by Jose Ruel L. Garcia Ruel Montañez Agrano Chie E. Floresca Jurey Mirafuentes Glenford Leonillo Abigail Gomez Junia Directed by FM Reyes Raymund B. Ocampo Ricky S. Rivero Starring Meg Imperial JC de Vera Ellen Adarna Dominic Roque Miko Raval Opening themeMoon of Desire by Morissette[1]ComposerTrina Belamide[1]Country of originPhil...

IernutKotaGereja Reformasi RumaniaNegara RumaniaCountyCounty MureşStatusKotaPemerintahan • Wali kotaIoan Nicoara (Partidul National Liberal)Luas • Total106,36 km2 (4,107 sq mi)Populasi (2002) • Total9.523Demonimiernutean, iernuteancă (ro)Zona waktuUTC+2 (EET) • Musim panas (DST)UTC+3 (EEST)Situs webhttp://www.primariaiernut.ro/ Iernut (bahasa Hungaria: Radnót, pelafalan Hungaria: [’rɒdnoːt] ) adalah ...

 

De Kleilânsmole, MarrumDe Kleilânsmole, August 2007.OriginMill nameDe KleilânsmoleMill locationHoge Herenweg nabij nr. 14, 9073 TT MarrumCoordinates53°19′22″N 5°46′41″E / 53.3228°N 5.7781°E / 53.3228; 5.7781Operator(s)Stichting De Fryske MoleYear built1865InformationPurposeDrainage millTypeSmock millStoreysTwo-storey smockBase storeysSingle-storey baseNo. of sailsFour sailsType of sailsCommon sailsWindshaftCast ironWindingTailpole and winchAuxiliary powe...

 

Fictional character from EastEnders Soap opera character George PalmerEastEnders characterPortrayed byPaul MoriartyDuration1996–1998First appearanceEpisode 13114 July 1996 (1996-07-04)Last appearanceEpisode 17058 December 1998 (1998-12-08)ClassificationFormer; regularIntroduced byCorinne HollingworthIn-universe informationOccupationGangsterBusinessmanWifeAlison Palmer (backstory)DaughtersAnnie Palmer George Palmer is a fictional character fr...

Mayor of Georgetown, District of Columbia, United States Thomas CorcoranCharles Peale Polk, Thomas Corcoran, c. 1802-1810, in the National Gallery of ArtBorn1754County Limerick, Kingdom of IrelandDiedJanuary 27, 1830 (aged 76)Georgetown, District of Columbia, U.S.Resting placeOak Hill CemeteryWashington, D.C., U.S.NationalityIrish AmericanOccupation(s)Merchant, real estate developerKnown forMayor of Georgetown Thomas Corcoran Jr. (1754 - January 27, 1830) was an Irish American merch...

 

Нуклеотиды Классификация ChEBI 36976 Приведены данные для стандартных условий (25 °C, 100 кПа), если не указано иное. Медиафайлы на Викискладе Строение нуклеотидов Нуклеоти́ды (нуклеозидфосфаты) — группа органических соединений, представляющих собой фосфорные эфиры ...

 

هذه المقالة يتيمة إذ تصل إليها مقالات أخرى قليلة جدًا. فضلًا، ساعد بإضافة وصلة إليها في مقالات متعلقة بها. (أغسطس 2023) لا خوف بعد اليوممعلومات عامةالصنف الفني فيلم وثائقي تاريخ الصدور 2011مدة العرض 72 دقيقة[1] اللغة الأصلية ‍العربيةالبلد  تونسالطاقمالمخرج مراد بن الشيخت...

Ramón TamamesFonctionsDéputéIIIe législature d'EspagneCirconscription électorale de Madrid9 juillet 1986 - 2 septembre 1989DéputéGouvernement de la Ire législatureCirconscription électorale de Madrid22 mars 1979 - 31 août 1982Premier adjoint au maire de Madrid1979-1981Eduardo Mangada (d)DéputéLégislature constituante d'EspagneCirconscription électorale de Madrid1er juillet 1977 - 2 janvier 1979Conseiller municipal de MadridBiographieNaissance 1er novembre 1933 (90 ans)Madri...

 

Overview of crime in Finland This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (December 2017) (Learn how and when to remove this template message) A Finnish policeman directing traffic in Turku. Crime in Finland is combated by the Finnish police and other agencies. Crime by type Murder Further information: List of countries by intentional homicide rate In 2021,...

 

Indian writer Rupa BajwaBornAmritsar, Punjab, IndiaLanguageEnglishNotable awards Long listed for the Orange Prize for Fiction in 2004. The XXIV Grinzane Cavour Prize for best first novel in June 2005. The Commonwealth Award in 2005. India's Sahitya Akademi Award English 2006. Rupa Bajwa is an Indian writer who lives and works in Amritsar, Punjab as well as spending time in various other Indian cities and towns. She is a recipient of the Grinzane Cavour Prize, the Commonwealth Award,[clari...

Bangka BelitungDaerah Pemilihan / Daerah pemilihanuntuk Dewan Perwakilan RakyatRepublik IndonesiaWilayah Daftar Kabupaten : Bangka Bangka Barat Bangka Selatan Bangka Tengah Belitung Belitung Timur Kota : Pangkal Pinang ProvinsiBangka BelitungPopulasi1.472.427 (2023)[1]Elektorat1.067.434 (2024)[2]Daerah pemilihan saat iniDibentuk2004Kursi3Anggota  Rudianto Tjen (PDI-P)  Bambang Patijaya (Golkar)  Zuristyo Firmadata (NasDem)Dibentuk dariSumatera Selatan ...

 

Pencicip kopi mencicipi kopi. Pencicipan kopi adalah praktik mengamati rasa dan aroma seduhan kopi.[1] Praktik ini merupakan praktik profesional, dengan sebutan pekerjaannya sebagai Q Graders. Standar prosedur pencicipan kopi meliputi pembauan mendalam terhadap kopi, lalu menyeruput kopi dengan keras sehingga kopi dapat tersebar hingga ke bagian belakang lidah. Pencicip kopi profesional berupaya untuk mengukur beragam aspek dari cita rasa kopi, khususnya pada badan kopi (meliputi teks...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!