6 manieren waarop wifi veiliger moet en kan worden

Hoe het begon

In oktober 2017 hadden we hier op kantoor een stressmomentje. We kregen via onze fabrikanten een voorpublicatie op een groot beveiligingslek in het wifi protocol (WPA2). Hierdoor was het mogelijk om mee te luisteren op wifi netwerken. Het protocol wat het wachtwoord heen en weer stuurde (de handshake) bleek lek te zijn.

Vijf uur later kwam het beveiligingslek in het nieuws. Op dat moment hadden wij al onze onderhoudsklanten al voorzien van een software update die het lek dichtte. Ook klanten zonder een onderhoudsrelatie hebben we voorzien van een gratis update. Ons uitgangspunt is namelijk dat alle klantgegevens veilig moeten zijn.

Deze week is echter bekend geworden dat WPA2 opnieuw een veiligheidslek bevat en dat wifi wachtwoorden een stuk makkelijker te hacken zijn dan gedacht.
 

Wat is de oorzaak?

Het beveiligingsmechaniek WPA2 stamt inmiddels uit 2004 en is simpelweg verouderd. Ter vergelijking: toen was het nog hip om op Hyves te zitten.
 

Wat betekent dit voor jouw wifi netwerk?

Heeft jouw bedrijf een wifi wachtwoord dat standaard is ingesteld of heel eenvoudig is? Dan heb je mogelijk een probleem. Het standaard wachtwoord voor de modem van Ziggo of KPN is op basis van een bepaalde sleutel gemaakt, dit wachtwoord is door de recente ontdekkingen niet meer veilig genoeg.

Simpele wachtwoorden zoals "internet" zijn direct de klos en wachtwoorden die niet complex zijn ook. Reken hier uit hoe lang het duurt voordat een Offline Fast Attack je wachtwoord heeft geraden. Bijvoorbeeld: "Kaas 123" is te kraken in negentien uur. Oef.
 

Is je wifi wachtwoord met WPA2 nog veilig?

Voor een 'Brute force' aanval hoef je niet eens in de buurt te zijn van het netwerk. Via deze geautomatiseerde aanval wordt ontelbaar keer geprobeerd om het wachtwoord te raden. Oftewel: zolang het wachtwoord een hoge complexiteit heeft zal het jaren duren voordat een computer dit wachtwoord heeft geraden.
 

WPA3 voegt vier nieuwe beveiligingen toe
Het beveiligingsmechaniek achter WPA2 is verouderd. Je kunt je voorstellen dat het dan tijd wordt voor een upgrade: WPA3. WPA3 maakt gebruik van vier nieuwe beveiligingen.


1. Privacy op openbare wifi netwerken

Alle communicatie tussen jou en het internet wordt bij WPA3 beter afgeschermd en de communicatie met andere gebruikers van het openbare wifi netwerk staat standaard uit.

2. Beveiliging tegen 'Brute Force' aanvallen waarbij honderden keren wordt geprobeerd om het wachtwoord te achterhalen.

Vanuit de huidige wifi standaard wordt een welkomstboodschap (PMKID) gestuurd als je een verbindig probeert te maken met een wifi netwerk. Niet handig, afgelopen week werd dit gekraakt.

WPA3 is hier niet kwetsbaar voor, omdat het Simultaneous Authentication of Equals gebruikt. Een technische term voor: "Nee ik stuur je niet direct mijn wachtwoord op zodat je die thuis kan gaan proberen te kraken".

3. WPA3 maakt het makkelijker om te verbinden met apparaten zonder scherm (zoals een koelkast) door bijvoorbeeld een QR code.

4. WPA3 biedt betere versleutelingsmogelijkheden voor overheden, defensie & industry.
 

Kan WPA3 draaien op bestaande hardware?

Ja! Gelukkig wel. Mits de apparatuur nog een beetje recent is en je software updates ontvangt. De gerenommeerde merken gaan dit zeker toevoegen. Gaat het om verouderde hardware of budget apparatuur? Vervang deze zo spoedig mogelijk.
 

Hoe gaan we over naar WPA3?

De overstap naar WPA3 zal enige tijd in beslag nemen. De apparatuur moet gecertificeerd worden. Ook jouw telefoon moet snappen dat wifi netwerken nu op een andere manier verbinden. In de tussentijd moet WPA2 nog een lange tijd beschikbaar blijven voor apparaten die niet kunnen verbinden volgens de nieuwe standaard. WPA2 wordt daarom nog steeds doorontwikkeld, maar het blijft lapwerk.

We verwachten dat WPA3 begin 2019 uitgerold gaat worden. Al onze bestaande en nieuwe klanten zullen we upgraden naar de nieuwe standaard.
 

Alternatieven voor nu?

Zeker! WPA2 Enterprise is een optie voor bedrijven waarvan het netwerk altijd veilig moet zijn. In deze blog lees je meer hierover. WPA2 Enterprise is een vijfde mogelijkheid om een wifi netwerk veiliger te maken, naast de vier beveiligingen die WPA3 gaat bieden.

Bij de zesde manier om een wifi netwerk beter te beveiligen, heb je ook geen WPA3 nodig. Dit doe je namelijk zelf. Vergeet niet om het wifi wachtwoord te veranderen naar een lang en complex wachtwoord. Een Nederlandse zin met een hoofdletter en een punt is makkelijk te onthouden en veilig genoeg.

Neem bijvoorbeeld als wachtwoord: "De wind komt uit het Noorden." Het duurt maar liefst 2.89 honderd biljoen triljoen eeuwen voordat dit wachtwoord is gekraakt. Daarmee wordt de kans dat jouw wifi wordt gehackt ook een stuk kleiner. Scheelt weer :-)