告别“蹭网”？WiFi联盟正式发布WPA3

不再谈兼容性，面对深陷安全泥沼的WiFi产业，WPA3试图“断臂求生”。

在1月份宣布后的五个多月后，WiFi联盟今天正式发布了WPA3——新一代Wi-Fi安全协议，取代饱受安全漏洞和黑客攻击困扰的WPA2。

参考阅读：超半数员工被WiFi钓鱼？《2018年企业移动安全报告》敲响警钟

Wi-Fi联盟此次推出的WPA3包含两个认证标准，面向个人的WPA3-Personal 和面向企业的WPA3——Enterprise，同时还推出了一个简化WiFi设备配对的标准：Wi-Fi Easy Connect。

“这是个人和企业网络的下一代安全解决方案，”Wi-Fi联盟营销副总裁Kevin Robinson在接受VB电话采访时表示：“Wi-Fi联盟最重要的角色之一就是确保行业领先于新的威胁。”

WPA是Wi-Fi Protected Access的首字母缩略词，使用高级加密标准（AES）协议对无线设备进行身份验证。它旨在防止恶意第三方窥探无线数据，但在2017年10月，安全研究人员发现了WPA2中的一个严重漏洞—KRACK ，攻击者可以查看，解密甚至操纵网络流量。随后几个月中，大多数新手机，笔记本电脑和Wi-Fi路由器都收到了包含漏洞补丁的固件更新，但依然有大量旧设备（包括消费者手中的设备）出于各种原因无法得到升级，变成无法收拾的“破窗”，这无疑为全球互联网埋下了重大安全隐患，期间有无数安全专家呼吁用全新的WLAN安全标准来根治问题，于是，WiFi联盟推出了WPA3，一个完全重新设计的WPA安全协议，以解决WPA2的技术缺陷。

WPA3-Personal和WPA-Enterprise网络有几个共同点，其中最显著的一点是不兼容旧的安全协议，这意味着WPA2设备无法连接到WPA3独占热点，除非这些热点开启了特殊的过渡模式；此外两个WPA3标准都使用了受保护管理框架（PMF），以防止攻击者窃听或”踢人”。

WPA3-Personal针对家庭和公寓中的小型单密码网络进行了优化，并且具有抵御字典攻击的身份验证机制，过去黑客经常拦截客户端与Wi-Fi路由器之间的流量，并用显卡或云计算服务来遍历密码。过去的WPA协议对字典攻击的防御能力很差，而WPA3有望改进这一点。

与WPA2使用4次握手完成设备的网络认证不同，WPA3使用的是同时等同认证（SAE）协议，该协议既可以在密钥交换时加强安全性，也可以保护数据流量不受威胁，即使在密码被破解的情况下。

WPA3-Enterprise是一种在企业环境中部署大规模Wi-Fi的协议，相比个人版本它提供了一些额外的保护：整合了192位安全套件，以及来自美国国家安全系统委员会的商业国家安全算法（CNSA）套件。这些安全套件是安全性要求较高的行业，例如国防和政府网络量身定制的。

“它为安全协议的应用提供了更大的一致性……并且提高了网络弹性，”Robinson说。

在接下来的几个月里，不兼容旧的WPA协议(以及几乎目前所有WiFi设备)的WPA3并不是唯一的Wi-Fi路由器新安全协议。Wi-Fi Easy Connect是一种适用于WPA2和WPA3网络的新型连接协议，可以通过扫描二维码来快捷连接没有显示屏的WiFi设备，而此前的WPS快速联网协议需要按下路由器和设备上的物理按键。每个Wi-Fi Easy Connect设备都会有一个二位码标签。

Wi-Fi Easy Connect可以与WPS同时实施，但Wi-Fi联盟将这一选择留给了制造商。

WPA3和Wi-Fi Easy Connect不会马上成为主流–Robinson预计在2019年下一代Wi-Fi标准IEEE 802.11ax认证开始时将出现激增 – 但Wi- Fi联盟的800多名成员企业中，有不少正在紧锣密鼓地开发新标准产品。今年早些时候，高通公司也曾表示，它将在6月份之前为其旗舰级片上系统增加对WPA3的支持。

WPA2的末日已经来了吗?

根据Wigle.net的统计，目前只有60%的WiFi热点使用WPA2安全协议。而对于无法向前兼容的WPA3，能否快速占据市场存在很大的疑问。

“WPA3最终将成为强制性的标准。当你看到下一代Wi-Fi设备上市后，WPA3的普及会得到极大推动“Robinson表示:“但是，尽管我们专注于下一代Wi-Fi安全，Wi-Fi联盟仍在继续维护和更新WPA2。”