Wie schützt der aktuelle Verschlüsselungsstandard WPA3 das Heimnetzwerk effektiver vor Angriffen als sein Vorgänger WPA2?

Bearbeiten
Löschen

WPA3 (Wi-Fi Protected Access 3) wurde 2018 eingeführt, um die Sicherheitslücken des mittlerweile über 20 Jahre alten WPA2-Standards zu schließen. Im Heimnetzwerk bietet WPA3 vor allem Schutz gegen die häufigsten Angriffsszenarien.

Hier sind die wichtigsten Verbesserungen, die WPA3 effektiver machen:

1. Schutz gegen Brute-Force- und Dictionary-Attacken (SAE)

Die wichtigste Neuerung ist der Ersatz des alten "Pre-Shared Key" (PSK) Verfahrens durch SAE (Simultaneous Authentication of Equals), auch bekannt als "Dragonfly"-Handshake.

  • Bei WPA2: Ein Angreifer konnte den Datenverkehr beim Verbindungsaufbau mitschneiden und diesen "Handshake" dann offline auf seinem eigenen Computer mit Milliarden von Passwort-Kombinationen abgleichen (Wörterbuch-Angriff), bis er das richtige Passwort gefunden hatte.
  • Bei WPA3: Durch SAE muss der Angreifer bei jedem einzelnen Rateversuch direkt mit dem WLAN-Router kommunizieren. Ein Offline-Knacken des Passworts ist unmöglich. Zudem kann der Router nach einigen Fehlversuchen die Kommunikation blockieren. Das macht selbst schwache Passwörter deutlich sicherer.

2. Perfect Forward Secrecy (PFS)

WPA3 bietet sogenannte „vorwärtsgerichtete Geheimhaltung“.

  • Das Problem bei WPA2: Wenn ein Angreifer den Datenverkehr eines Netzwerks über Wochen mitschneidet und irgendwann später das WLAN-Passwort erfährt, kann er damit den gesamten vergangenen aufgezeichneten Datenverkehr entschlüsseln.
  • Die Lösung bei WPA3: Für jede Sitzung wird ein individueller Schlüssel ausgehandelt, der unabhängig vom Hauptpasswort ist. Selbst wenn jemand später das WLAN-Passwort knackt, kann er damit keine Daten entschlüsseln, die in der Vergangenheit aufgezeichnet wurden.

3. Individualisierte Datenverschlüsselung

In einem WPA2-Heimnetzwerk verwenden theoretisch alle Geräte denselben Schlüssel, der vom Passwort abgeleitet wird.

  • WPA3 verschlüsselt die Verbindung zwischen jedem einzelnen Gerät und dem Router individuell. Das erhöht den Schutz vor Angriffen innerhalb des eigenen Netzwerks (z. B. wenn ein infiziertes Smart-Home-Gerät versucht, den Verkehr eines Laptops im selben WLAN mitzulesen).

4. Sicherere Verbindung für Gast-Netzwerke (OWE)

Oft haben Heimnetzwerke offene Gast-WLANs ohne Passwort.

  • Bei WPA2: Daten in offenen WLANs werden komplett unverschlüsselt übertragen. Jeder in der Nähe kann mitlesen.
  • Bei WPA3 (Enhanced Open): Dank OWE (Opportunistic Wireless Encryption) wird der Datenverkehr auch in "offenen" Netzwerken ohne Passworteingabe verschlüsselt. Der Nutzer merkt keinen Unterschied, aber die Funkstrecke ist vor Schnüfflern geschützt.

5. Schutz gegen bekannte Schwachstellen (wie KRACK)

WPA2 war anfällig für den sogenannten KRACK-Angriff (Key Reinstallation Attack), bei dem Angreifer Verschlüsselungsschlüssel manipulieren konnten, um Daten mitzulesen. WPA3 wurde von Grund auf so entwickelt, dass diese Art von Protokoll-Fehlern ausgeschlossen ist.

6. Wi-Fi Easy Connect (Ersatz für WPS)

Das alte WPS (Wi-Fi Protected Setup), bei dem man oft eine PIN eingeben oder eine Taste drücken musste, galt als unsicher. WPA3 führt Wi-Fi Easy Connect ein. Damit können Geräte ohne Display (wie smarte Glühbirnen) sicher über einen QR-Code-Scan mit dem Smartphone ins Netzwerk integriert werden, ohne Sicherheitsrisiken einzugehen.

Zusammenfassung

WPA3 schützt das Heimnetzwerk vor allem dadurch, dass es menschliche Fehler (schwache Passwörter) abfedert und moderne kryptografische Verfahren nutzt, die gegen das Mitschneiden und nachträgliche Entschlüsseln von Daten immun sind.

Wichtig zu wissen: Damit der Schutz wirkt, müssen sowohl der Router als auch das Endgerät (Smartphone, Laptop) WPA3 unterstützen. Ältere Geräte funken in einem "Mixed Mode" oft weiterhin über WPA2.