WPA3 doit-il vouloir dire le retour des jumeaux diaboliques?
Lorsque WPA3 a un niveau raisonnable de pénétration du marché, l'un de ses points de vente clés est le cryptage sans fil opportuniste (OWE). En d'autres termes, un Starbucks peut avoir un réseau sans mot de passe et chaque périphérique WPA3 qui se connecte à celui-ci sera toujours crypté.
Je suis préoccupé par la façon dont je saurai que je me connecte au droiteStarbucks WiFi Ssid. Avec WPA2 PSK (et certaines formes d'entreprise), je pourrais savoir si le serveur aussi connaissez le bon mot de passe. Je soupçonne que de nombreuses entreprises utilisent uniquement une PSK pour leur WiFi public car c'est le seul moyen de chiffrer des données avec WPA2. S'ils arrêtent d'utiliser une PSK une fois que doit être disponible, comment savoir que je ne me connecte pas à un jumeau diabolique?
Y a-t-il une confiance - après - Certificat de première utilisation Pinning? Existe-t-il un moyen de taper une empreinte de certificat pour le tofu? Y a-t-il une autre atténuation du tout? Il y a une spéculation dans les commentaires sur cette réponse, mais ce n'est pas ce que j'espérais entendre.
Il ne doit pas l'authentification, "seulement" cryptage. En tant que tel, il ne protège pas contre les attaques jumelles pervers. Toutefois, la certification WPA3 nécessite des cadres de gestion protégés, ce qui rend plus difficile l'attaquant de forcer une victime à se déconnecter.
La protection contre les attaques mal à double impose oblige la victime à authentifier le réseau qu'elle se connecte à, ce qui nécessite soit WPA3-Personal ou WPA3-Enterprise.
Remarque: WPA3-Personal (et IIRC WPA3-Enterprise, mais je ne suis pas sûr), contrairement aux normes précédentes, n'utilise pas Exchange PSK, mais utilise plutôt SAE (authentification simultanée des égaux)
Sources:
- https://fr.wikipedia.org/wiki/wi-fi_protected_access#wpa
- D'autres je ne me souviens pas
Réponse courte: Non, ils n'ont jamais quitté
Il n'est pas censé remplacer PSK, il est destiné à améliorer les réseaux ouverts en les cryptant, mais ne fournit pas d'authentification. Pour cela, vous avez toujours besoin d'une configuration PSK ou d'entreprise. En tant que tel, vous avez le même problème avec les "jumeaux diaboliques", AKA MitMS, dans WPA3 Owe Networks, comme vous avez des réseaux non protégés.
Avec WPA2 PSK (et certaines formes d'entreprise), je pourrais indiquer si le serveur connaissait également le bon mot de passe, mais cela n'existe plus.
Tenez-vous, pourquoi cela n'existe plus?
Dans WPA2, si un mot de passe est connu, un appareil ne se connecte généralement pas à un réseau ouvert avec le même nom. Bien que je ne possède pas de périphérique WPA3 à tester, je suppose que cela fait la même chose: s'il connaît une clé, un point d'accès avec le même nom et le même nom ne doit pas être considéré comme un point d'accès connu.
De plus, MARTIN SUNDHAUG a déjà mentionné, ils ont déjà fixé l'attaque de désautortancitation. Le meilleur qu'un attaquant peut maintenant faire est de la confiture de la fréquence qui n'est pas seulement plus difficile, mais aussi dans la plupart des endroits aussi illégaux que les attaques de duorauth.
S'il n'y a pas de mot de passe (il est donc utilisé), je pense qu'il est très probable qu'une attaque jumelle diabolique fonctionnera. Si l'appareil enregistrerait et vérifiez la clé, les propriétaires devraient avoir à synchroniser des clés entre leurs points d'accès, même s'il n'a pas de mot de passe défini. Ils sont probablement, par designs, ne vont pas le rendre si compliqué. Si c'est ce que vous vouliez dire, je ne l'appellerais pas "le retour de" l'attaque jumelle diabolique, mais "rien n'a changé en ce qui concerne l'attaque jumelle diabolique".