Chuẩn bảo mật WPA3: Bảo mật - Mạnh mẽ

Chuẩn bảo mật WPA là gì?

WPA là từ viết tắt cho Wi-Fi Protected Access, nó là một chứng chỉ bảo mật do Wi-Fi Alliance tạo ra để bảo vệ các kết nối không dây. Bạn có thể hiểu đơn giản rằng WPA là một bộ quy tắc được thiết kế để giúp bảo vệ bộ định tuyến Wi-Fi, các thiết bị mà nó kết nối tới cùng những dữ liệu được truyền đi. Nhờ vào một lớp liên lạc trung gian, hai thiết bị đầu và cuối sẽ không cần phải biết được các thông tin "bí mật" của nhau. Khi bạn đặt mật khẩu cho wifi nhà mình, rất có thể bạn đã sử dụng chuẩn bảo mật WPA. Chuẩn bảo mật phổ biến nhất hiện nay là WPA2, tuy nhiên nó bộc lộ nhiều nhược điểm về bảo mật, do đó vào cuối tháng 6/2018 Wi-Fi Alliance đã cho ra mắt chuẩn bảo mật mới là WPA3.

Điểm nổi bật của chuẩn bảo mật WPA3

• Ưu điểm của WPA3 đơn giản để nói thì nó sẽ tăng cường độ bảo mật hơn so với WPA2.
• Theo mô tả của tổ chức Wi-Fi Alliance, WPA3 sẽ gồm các cải tiến sau:
  • Chuyển đổi cơ chế xác thực bắt tay 4 bước và PSK (Pre-Shared Key) của WPA2 qua một phương pháp mới an toàn hơn là SAE (Simultaneous Authentication of Equals). Giúp hạn chế việc bị tấn công Brute Force (dò đoán mật khẩu) và giới hạn việc bị giải mã dữ liệu hàng loạt.
  • Mã hoá dữ liệu truyền của người dùng trong các hệ thống mạng WiFi không có dùng mật khẩu đăng nhập.
  • Đơn giản hoá việc kết nối WiFi của các thiết bị không có màn hình (các thiết bị IoT, loa thông minh, đèn thông minh, ...)
  • Mở rộng khả năng mã hoá từ 128 bit lên 192 bit cho các mạng WiFi doanh nghiệp (WPA3-Enterprise)

​

Để hiểu chi tiết hơn thì ta cần nhìn lại các vấn đề bảo mật phổ biến hiện nay trên chuẩn bảo mật WPA2

• Tấn công KRACK:
  • Đây là lỗi nghiêm trọng gần đây được ghi nhận của chuẩn bảo mật WPA2. Giải thích đơn giản thì nó cho phép kẻ tấn công bắt được dữ liệu của người dùng WiFi mà không cần phải biết mật khẩu đăng nhập WiFi (và kiểu tấn công này cũng không cho phép kẻ tấn công lấy được mật khẩu đăng nhập). Và nó lợi dụng điểm yếu trong cơ chế bắt tay 4 bước của WPA2.

​

• Tấn công Brute Force dựa vào các dữ liệu bắt được ở quá trình bắt tay 4 bước:
  • Đây là kiểu tấn công cũ và tốn rất nhiều thời gian và công sức, đồng thời cũng chỉ có các WiFi với mật khẩu vô cùng đơn giản mới bị tấn công. Nó dựa vào việc bắt các gói dữ liệu khi người dùng xác thực kết nối WiFi và dò tìm mật khẩu trên đó.
• Tấn công Brute Force dựa trên điểm yếu của công nghệ Roaming (IEEE 802.11i/p/q/r):
  • Đây là lỗi được phát hiện sau, lợi dụng một điểm yếu trong các mạng WiFi có hỗ trợ roaming (IEEE 802.11i/p/q/r), cụ thể là tấn công vào thông số chuỗi PMKID (vốn được hình thành từ thông tin mật khẩu đăng nhập), nó cố định và được quảng bá ra xung quanh và rất dễ bắt được. kẻ tấn công có thể dùng kiểu tấn công Brute Force để tìm ra mật khẩu đúng dựa trên mã này.

​

• Nguy cơ dữ liệu bị giải mã hàng loạt khi mật khẩu đăng nhập bị tiết lộ và trong các mạng WiFi không có mật khẩu:
  • Nói đơn giản thì WPA2 dùng mật khẩu đăng nhập của mình để mã hoá dữ liệu truyền của người dùng và phương pháp mã hoá thì cố định không thay đổi. Nên kẻ tấn công có thể đơn giản là bắt các gói dữ liệu và lưu lại, đợi đến khi nào đánh cắp được mật khẩu đăng nhập thì có thể dùng nó để giải mã các dữ liệu cũ và sau này.
  • Và vì dùng mật khẩu đăng nhập để mã hoá dữ liệu nên trong các mạng WiFi không có dùng mật khẩu (Hotspot), thì dữ liệu của người dùng được gửi hoàn toàn nguyên bản mà không có mã hoá gì.

​

Vậy liệu chuẩn bảo mật WPA3 giải quyết được các vấn đề gì hiện có trên WPA2 vừa liệt kê ở trên?

• Đầu tiên, hãy nói về tác dụng cụ thể của cơ chế xác thực mới SAE (còn được biết tới như là biến thể của Dragonfly Key Exchange):
  • Đó là nó đã loại trừ nguy cơ bị tấn công KRACK vì đơn giản là nó không tồn tại quá trình bắt tay 4 bước và cũng sẽ không chấp nhận việc một khoá mã hoá cũ được dùng lại. Đây vốn là 2 yếu tố chính mà tấn công KRACK lợi dụng.
  • Ngay từ khi được xây dựng, mục đích của SAE là để tăng cường khả năng bảo mật của mạng WiFi chống lại các kiểu tấn công Brute Force ngay cả khi người dùng chọn các mật khẩu đơn giản cho WiFi của mình.
  • Và nó giới hạn việc đoán mật khẩu của kẻ tấn công phải thực hiện khi đang trong vùng phủ sóng (giải thích đơn giản thì kẻ tấn công không thể bắt dữ liệu rồi mang về nhà giải mã được, mà mỗi lần đoán mật khẩu phải hỏi trực tiếp thiết bị là đúng hay sai). Nó giúp bạn dễ dàng giới hạn lượt đoán, cũng như dễ dàng phát hiện ra việc bị tấn công.
  • Tách bạch việc mã hoá dữ liệu ra khỏi mật khẩu đăng nhập WiFi. Nói cách khác, trong SAE, mã khoá được dùng để mã hoá dữ liệu là độc lập giữa mỗi người dùng và được tạo mới mỗi phiên, được phát sinh bằng thuật toán mã hoá bất đối xứng (diffie hellman), không liên quan gì đến mật khẩu đăng nhập. Mật khẩu đăng nhập chỉ được dùng để góp phần xác thực thông tin lúc đầu mà thôi.
  • Như vậy, mỗi phiên đều có mật khẩu mã hoá riêng và độc lập với mật khẩu đăng nhập. Vì vậy nếu mật khẩu đăng nhập có bị đánh cắp hoặc chẳng may mật khẩu mã hoá một phiên có bị đoán được cũng không ảnh hưởng nhiều đến các dữ liệu khác.
• Wi-Fi Enhanced Open:
  • Là công nghệ giúp mã hoá dữ liệu truyền của người dùng trong các mạng WiFi công cộng, không mã hoá. Nếu các bạn đã để ý ở phần trên thì cũng sẽ đoán được phần nào việc này được thực hiện như thế nào. Nó cũng dựa trên thuật toán mã hoá bất đối xứng để tạo ra cặp mật khẩu mã hoá dữ liệu cho riêng mỗi người dùng, độc lập và không bị tái sử dụng. Vì vậy bạn có thể yên tâm phần nào khi kết nối vào các mạng WiFi công cộng không mã hoá.
• Wi-Fi Easy Connect (Đây là thông tin không chắc chắn vì chưa có thấy thực tế):
  • Là công nghệ cho phép bạn có thể kết nối dễ dàng các thiết bị không có hỗ trợ màn hình (các thiết bị IoT, công tắc thông minh, loa thông minh, ...) vào mạng WiFi một cách an toàn. Nó là sự thay thế cho tính năng WPS (Wi-Fi Protected Setup), còn được biết dưới tên (WiFi Device Provisioning Protocol).
  • Mô tả hoạt động thì nó sẽ như sau:
    • B1: Bạn đăng ký một thiết bị nào đó có màn hình và đáp ứng đủ các yêu cầu về phần mềm triển khai (thường là điện thoại thông minh) vào hệ thống DPP. Bước thao tác thì cũng đơn giản có thể là scan QR-code, mật khẩu tạo trước, DFC, … nói chung là tuỳ hãng hỗ trợ khác nhau.
    • B2: Sau đó, bạn muốn kết nối thiết bị IoT nào vào mạng WiFi của mình thì scan mã code trên thiết bị đó.
    • B3: … Hết rồi! bạn chả cần làm gì thêm nữa thiết bị sẽ tự kết nối vào WiFi.
  • Vì thông qua tiêu chuẩn của WPA3 các thông số cài đặt và xác thực là thống nhất nên không cần phải mỗi hãng một loại chương trình. Bạn cứ dùng chung một phần mềm là được.
  • Việc trao đổi và cấu hình mật khẩu cũng được thiết kế đảm bảo an toàn và bảo mật, chứ không nguy hiểm như WPS, nhấn nút cái là kết nối ngay hoặc mã code quá đơn giản.
  • Cái quan trọng là thiết bị phải có giấy phép chứng nhận tương thích tính năng.
• WPA3-Enterprise:
  • Không có gì nhiều để nói về cải tiến này, nó chỉ đơn giản là mở rộng vùng mã hoá từ 128 bit lên 192 bit, khi các bạn sử dụng chế độ Enterprise (802.1x).
  • Việc duy nhất bạn cần để ý là phần mềm kết nối của bạn phải tương thích với việc mở rộng này.
  • Đồng thời cần kiểm tra xem máy chủ xác thực RADIUS của bạn có đáp ứng nó hay không.

Vậy có WPA3 có thực sự an toàn và cần thiết?

• Có lẽ trước hết chúng ta nên hỏi theo cách khác là WPA2 có còn đủ an toàn hay không?
  Và câu trả lời là: Có. Nguyên nhân là:
  • Tuy KRACK được phát hiện đánh dấu một thời điểm chuẩn WPA2 trở nên không còn đủ an toàn như xưa nữa. Nhưng thực tế là chưa có một cuộc tấn công quy mô nào hay thực sự gây nguy hiểm nào được ghi nhận. Nguyên nhân được giải thích là quá trình tấn công đòi hỏi quá cao: Phải ở trong vùng phát sóng của nạn nhân, bản thân việc làm cách nào để can thiệp, kiểm soát và lấy được khoá mã hoá trong quá trình đăng nhập lúc đầu đã là rất khó khăn và cần quá nhiều điều kiện, …
  • Các kiểu tấn công Brute Force hiện nay có thể kiểm soát bằng cách đơn giản đặt mật khẩu đủ mạnh (mật khẩu dài, kèm số - chữ - ký tự đặc biệt và không có ý nghĩa đặc biệt để dễ đoán)
  • Việc mở rộng lên mã hoá 192 bit thực sự chắc chắn là an toàn hơn 128 bit, nhưng với mã hóa 128 bit để có thể bị tấn công được cũng phải yêu cầu một nguồn lực rất lớn hiện nay. Vì vậy trừ khi công ty bạn có một yêu cầu bảo mật rất quan trọng thì mới cần đến nó.
  • Và bạn cũng có thể chọn dùng VPN hoặc truy cập các trang HTTPS thôi để tránh việc thông tin bị theo dõi và đánh cắp.
• Như vậy về mặt bảo mật thực sự tiêu chuẩn SAE và mã hoá 192 bit không đem lại nhiều lợi ích cho bạn lắm trong thời điểm hiện nay, còn các tính năng khác thì sao? Chắc chắn bạn thấy rất thích những tính năng còn lại và chúng cũng đem lại những lợi ích xác thực.
• Điều đó hoàn toàn đúng cho đến khi bạn biết được sự thật là: một thiết bị có hỗ trợ WPA3, không có nghĩa là chúng đi kèm cả 4 tính năng được liệt kê.
• Có cả thảy 3 chứng chỉ dành cho chúng:
  • Wi-Fi CERTIFIED WPA3™: Cấp cho các thiết bị đáp ứng về yêu cầu bảo mật của WPA3, hiểu đơn giản thì phải có công nghệ SAE (WPA3-Personal) và mã hoá 192 bit cho WPA3-Enterprise.
  • Wi-Fi CERTIFIED Easy Connect™: Cấp cho các thiết bị hỗ trợ và đáp ứng các yêu cầu của tính năng Easy Connect đã liệt kê ở trên.
  • Wi-Fi CERTIFIED Enhanced Open™: Cấp cho các thiết bị có tính năng mã hoá dữ liệu cho các mạng không dùng mật khẩu đăng nhập.
• Nó dẫn đến bạn không thể xác định được thiết bị của mình sẽ hỗ trợ những tính năng gì nếu chỉ nhìn vào logo WPA3.
• Ngoài ra bạn còn đứng trước các nguy cơ an toàn khác mà bản thân WPA3 không thể giúp bạn giải quyết, cụ thể là do người dùng thiếu thận trọng, ví dụ:
  • Vô tình tiết lộ mật khẩu cho người khác.
  • Bị lừa kết nối vào một thiết bị WiFi khác trùng tên.
  • Bị tấn công Poisoning ARP.
  • …