两位安全研究人员发现了WPA3漏洞

你的意思是我的安全毯不安全吗?下一代的标准“应该使密码破解过去的事情了，”起哄Ars Technica的，当得知漏洞是在WPA3协议可能允许对手去的Wi-Fi密码和访问目标网络后发现。

“不幸的是，”两位研究人员说，我们发现即使使用WPA3，受害者范围内的攻击者仍然可以恢复网络密码。当受害者不使用HTTPS等额外保护层时，这可以让对手窃取敏感信息，如信用卡，密码，电子邮件等。“

WPA3于2018年由Wi-Fi联盟发布，旨在保护Wi-Fi网络免受入侵者的攻击。什么男性泄漏?Dark Reading提到“握手过程中的缺陷”，可能会“对用作网络凭证一部分的密码进行低成本攻击”。

低成本攻击?那是什么意思?Ars Technica的 Dan Goodin 写道，WPA3 中的设计缺陷引发了对无线安全性的质疑，“尤其是低成本的物联网设备”。

该攻击涉及一个允许传统WPA2 设备连接到启用WPA3的接入点的过程 ; 由此产生的操作打开了“对用于身份验证的密码的暴力字典攻击”的过程，“ Dark Reading说。

关于影响，这个交易有多大?Dark Reading引用了Wi-Fi联盟营销副总裁Kevin Robinson的话。并非所有WPA3个人设备都受到影响，甚至可以通过软件更新修补“少量设备”。

该登录过程具有可能使WPA3不太安全的漏洞。具体而言，Dark Reading报告了“等同同步认证(SAE)握手的侧通道漏洞问题”。后者被进一步描述为“WPA3对WPA2的改进的关键部分”。

由于SAE握手被称为Dragonfly; 研究人员称这一系列漏洞为龙血。

发现这一漏洞的是纽约大学阿布扎比的Mathy Vanhoef和特拉维夫大学的Eyal Ronen以及KU Leuven。

(在侧通道信息泄漏攻击中，解释了Catalin Cimpanu，ZDNet，“支持WiFi WPA3的网络可以欺骗设备使用较弱的算法泄漏有关网络密码的少量信息。通过反复攻击，完整的密码最终可以恢复。“)

Dan Goodin并没有对这一发现感到震惊。“目前的WPA2版本(自2000年代中期以来一直在使用)遭遇了十多年来一直存在的严重设计缺陷，”他写道。

他说，四方握手是一个加密过程，用于验证计算机，电话和平板电脑到接入点，反之亦然 - 并包含网络密码的哈希值。“连接到网络的设备范围内的任何人都可以记录这次握手。短密码或那些非随机的密码在几秒钟内就可以轻易破解。”

幸运的是，他们写了博客，我们希望我们的工作和与Wi-Fi联盟的协调将使供应商能够在WPA3普及之前减轻我们的攻击。“

4月10日，Wi-Fi联盟发布了一份声明，称他们称之为“WPA3-Personal的早期实现数量有限，其中这些设备允许在运行攻击者软件的设备上收集侧信道信息，但未正确实施加密操作，或使用不合适的加密元素。“

他们表示，受影响的设备制造商数量很少“已经开始部署补丁以解决问题。这些问题都可以通过软件更新得到缓解，而不会影响设备协同工作的能力。没有证据表明这些漏洞已经存在。利用“。

Wi-Fi联盟感谢两位研究人员Vanhoef和Ronen发现并“负责任地报告这些问题，允许行业在广泛的WPA3-Personal行业部署之前主动准备更新。”

他们告诉Wi-Fi用户他们应该确保他们已经安装了设备制造商提供的最新推荐更新。