Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wpa3 moet privacy beschermen bij gebruik open netwerken

De Wi-Fi Alliance heeft de eerste details van wpa3 bekendgemaakt. De beveiligingstechniek voor wifi-netwerken moet het eenvoudiger maken voor gebruikers om de beveiliging in te stellen op apparaten zonder scherm en standaard bescherming bieden bij gebruik van open netwerken.

De Wi-Fi Alliance noemt enkele eigenschappen die wpa3 dit jaar naar draadloze netwerken van thuisgebruikers en enterprisetoepassingen brengt. Zo zal de techniek bescherming bieden, ook als gebruikers zwakke wachtwoorden voor hun netwerk kiezen. Daarnaast komt er individuele encryptie van verbindingen met open netwerken, om de privacy van de gebruiker te beschermen. Dit moet waarschijnlijk voorkomen dat kwaadwillenden nog langer open netwerken aan kunnen bieden om de verbindingen met die netwerken heimelijk te monitoren. Het makkelijker kunnen configureren van de beveiliging op apparaten met geen, of beperkte schermen, is waarschijnlijk bedoeld naar aanleiding van de groei van het internet-of-things.

Tenslotte komt er een '192bits beveiligingssuite' die speciaal bedoeld is voor netwerken die extra bescherming nodig hebben, zoals die van de overheid en defensie. Details over de verbeteringen noemt de alliantie verder niet. Wel benadrukt deze dat aan de beveiliging van wpa2 gewerkt blijft worden. Daarmee hoopt de alliantie waarschijnlijk dat er vertrouwen blijft in wpa2, ondanks de vorig jaar geopenbaarde Krack-aanval. Voor bescherming tegen die aanvallen verschenen er patches, maar wpa3 biedt standaard beveiliging tegen Krack.

De wifi-organisatie voorspelt dat in 2018 wifi-chipsets op basis van de 802.11ax-standaard verschijnen. 802.11ax moet ervoor zorgen dat netwerkcapaciteit beter wordt benut en ondersteunt bijvoorbeeld mu-mimo bij uploads. Het snelheidsverschil tussen ax en ac kan tot een factor vier oplopen. Tegenover Redmond Pie meldt een woordvoerder echter dat de certificering pas in 2019 begint. Fabrikanten brachten bij voorgaande generaties echter ook al wifi-producten uit voordat de certificatieprocedure gereed was.

Door

Nieuwscoördinator

38 Linkedin Google+

Reacties (38)

Wijzig sortering
Fabrikanten brachten bij voorgaande generaties echter ook al wifi-producten uit voordat de certificatieprocedure gereed was.
Interessante stelling van Tweakers, ik zou graag een bron zien :)

Want als hiermee de vele 802.11n draft apparaten bedoelt worden klopt de stelling niet. Die apparaten hebben gewoon de certificatieprocedure van de Wi-Fi Alliance doorlopen.

Om mezelf te quoten, job_h in 'nieuws: LG geeft informatie over oledtelevisies van 2018' :
De wifi 802.11n standaard heeft 11 drafts gehad. Vanaf draft 2, ruim 2 jaar voordat 802.11n final was, was er een officieel certificerings programma. Vanaf dat moment konden fabrikanten producten maken die officieel 802.11n draft ondersteunden, met de garantie van de Wi-Fi Alliance dat 802.11n final backward compatible was met 802.11n draft. Daarom waren er in die jaren zoveel 802.11n draft producten, want mensen wilden wel sneller internet ;)
Edit:
Ter verduidelijking, er zijn inderdaad producten uitgekomen voordat de certificatieprocedure gereed was. Zowel voor 802.11n, 802.11ac, en nu (waarschijnlijk) 802.11ax. Het enige wat ik aan wil geven is dat ik vermoed dat de meeste mensen aan de 802.11n draft producten denken bij die zin, terwijl deze producten wel het certificerings programma doorlopen hebben.

[Reactie gewijzigd door job_h op 9 januari 2018 14:51]

Ik denk dat het gaat over 802.11ac apparatuur.
Dat kan kloppen :) Er waren enkele apparaten uitgebracht voordat het certificatie programma van de draft van de 802.11ac standaard er was. Die (of in ieder geval een aantal) hebben even later alsnog het certificatie programma doorlopen. Ik herinner me de opgeplakte Wi-Fi Certified stickers op de verpakkingen nog ;)

Als die bedoeld worden klopt de stelling. Ik verwacht echter dat de meeste mensen aan de vele 802.11n draft producten denken en dat klopt dan weer niet. Vandaar dat ik graag een bron erbij heb voor de duidelijkheid :)
Ik heb ooit een Belkin Pre-N router gehad.
Uit het document:
Pre-N, the precursor to the upcoming 802.11n release
Bedoel je hiermee dat apparatuur die wordt uitgebracht voordat de certificatieprocedure gereed was, alsnog de certificatieprocedure doorlopen hebben? Dat klinkt niet helemaal logisch ;)
Die apparaten hebben gewoon de certificatieprocedure van de Wi-Fi Alliance doorlopen.
Dat kan goed kloppen. Zoals ik ook aangaf als reactie op w1z13 zijn er zeker apparaten die uit kwamen/komen voordat het certificerings programma er was. Het enige wat ik wil zeggen is dat ik vermoed dat de meeste mensen aan de 802.11n draft producten denken, omdat er daar zo ontzettend veel van waren. En die waren wel gewoon gecertificeerd :)
Bedoel je hiermee dat apparatuur die wordt uitgebracht voordat de certificatieprocedure gereed was, alsnog de certificatieprocedure doorlopen hebben?
Dat klinkt niet helemaal logisch ;)
Dat is precies wat ik bedoel. Apparaten die uitkwamen voordat de certificatie klaar was en later nog door de certificering gekomen zijn. Een sticker bij de verpakking was goedkoper dan een hele nieuwe verpakking laten drukken vermoed ik ;)

[Reactie gewijzigd door job_h op 9 januari 2018 14:52]

zou dit door dezelfde hardware als WPA2 worden ondersteund? Anders moeten we wel heel veel machines (weer) gaan vervangen
Het zal er een beetje vanaf hangen. Als het nog steeds AES gebruikt voor de encryptie is er best een kans dat het softwarematig op te lossen is.

Dat er bij de overstap van WEP naar WPA vaak nieuwe hardware nodig was komt omdat er toen van RC4 naar AES overgestapt werd en veel devices (zeker toen) een hardwarematige AES oplossing nodig hadden om de rest te ontlasten.

Van WPA naar WPA2 was een software update aangezien er nog steeds van AES gebruik gemaakt werd.

[Reactie gewijzigd door Maurits van Baerle op 8 januari 2018 23:32]

Vervangen van hardware is een natuurlijk proces. Zeker zakelijk gezien. Meestal wordt dat met 3 jaar afgeschreven. Je kunt er dus in je renewal cyclus en budgetten rekening mee houden.

Ax is een nieuwe chip, dus hardware update vereist.

Voor thuisgebruik zal het anders liggen. De meeste consumenten zullen wifi hebben op basis van de standaard wifi oplossing van hun isp en die zie ik echt de investering niet doen om al hun klanten van een wpa3 device te voorzien.
Dat zal langere tijd duren dan je eigenlijk zou willen in deze digitale onveilige wereld. Dus zouden consumenten in mijn optiek het advies moeten krijgen om zelf t.z.t. de benodigde hardware te kopen. Je zet immers ook geen half brak slot op ke voordeur.
Voor ax is nieuwe hardware nodig, dat is duidelijk. Maar kan wpa3 ondersteund worden dmv een softwareupdate?
Lijkt mij van wel, het is een softwarelaag, geen hardware. Enige punt zou kunnen zijn dat als je een trage cpu hebt in je router, dat dat eventueel een probleem kan vormen.
Dit zijn overigens aannames hoor, maar uiteraard wel gebaseerd op mijn kennis. Als het ander is hoor ik het ook graag natuurlijk!
Ja dat dacht ik ook, gewoon een nieuwe versie van wpa_supplicant installeren en het werkt. Voor pc's en laptops in ieder geval.
Routers, telefoons, tablets, hangt het helemaal aan de fabrikant of die een update uitbrengt.
En voor routers is er natuurlijk ook OpenWRT. Zelfs als de cpu meer moeite heeft met het encrypten van data en het wel eens trager zou kunnen lopen, verwacht ik niet een groot probleem voor thuis netwerken. Kwestie van tijd dat dit geďmplementeerd word.

Voor telefoons en tablets kan je (iig bij android) je telefoon rooten en zelf je eigen software erop zetten die het wel ondersteund.

Maar goed, dat is voor de tweaker. Niet de hedendaagse consument. Maar waar een wil is, is een weg.

[Reactie gewijzigd door Xorifelse op 9 januari 2018 00:34]

Voor ax is nieuwe hardware nodig, dat is duidelijk. Maar kan wpa3 ondersteund worden dmv een softwareupdate?
Zelfs al zou dat kunnen, ik heb zat apparatuur die niet meer geupdate worden, zoals Squeezebox spullen en een Philips Wifi radio.
En ik ben vast niet de enige.

[Reactie gewijzigd door ASS-Ware op 9 januari 2018 00:02]

Dan komt de fallback in werking
Net zoals je nu in vrijwel alle routers WPA2/WPA1/WEP ondersteuning hebt, TKIP en AES door elkaar kan gebruiken.
Als de client niet 'hoger' kan heb je als admin de keuze tussen toegang verlenen of blokkeren, tot een gescheiden netwerk draaien voor "kwetsbare" apparatuur
Dan komt de fallback in werking
Net zoals je nu in vrijwel alle routers WPA2/WPA1/WEP ondersteuning hebt, TKIP en AES door elkaar kan gebruiken.
Als de client niet 'hoger' kan heb je als admin de keuze tussen toegang verlenen of blokkeren, tot een gescheiden netwerk draaien voor "kwetsbare" apparatuur
In geval van een Squeezebox heb je weinig aan blokkeren of gescheiden netwerk, hij zal toch bij mijn Squeezebox Server (NAS, PC) moeten kunnen.
Je HOEFT het niet te vervangen, je mag ook de kat uit de boom kijken.
Ik snap het probleem misschien niet, maar als het werkt, werkt het.
Pas als je echt tegen de limieten aanloopt ( en/of een verhoogd risico van aanvallen hebt ) moet je actie ondernemen ( stiekem ben je dan ook al te laat )

Ik heb hier nog een hele tijd een WEP only IPcamera gehad, pas toen ik een geschikte upgrade gevonden had is die vervangen, tot die tijd heeft hij in een afgebakend netwerk meegedraaid.
Zat ik ook net aan te denken. Je kunt het WPA2 dan ook nog internet-only maken bijv. (zeker omdat oude devices ook nog KRACK gevoelig zijn en kinderen nog willen youtuben oid op die oude/goedkope dingen)
Zo heeft er hier nog lange tijd een WEP gedraaid, met als 'extra' beveiliging alleen MACfiltering
Die domme DS kon niet anders ;)

Op een bepaald moment moet je je realiseren wat je precies wilt beveiligingen, en waartegen.
In een dorpje op de heide zal je minder snel een drive-by hacker aantreffen dan in een grote stad.
En dan nog is het de vraag wat zoeken ze ... is het alleen toegang tot internet, of echt een gerichte aanval

Soms moet je gewoon loslaten ... je best doen, controleren en niet achter elke boom een wolf zien
De vraag ging volgens mijno er WPA2 updaten naar 3.
Dat staat los van de ax chip.

En voor de rest: Binnen 3 jaar afgeschreven, en elk jaar dat je ze langer gebruikt is winst of druktnhet verlies. Maar weinig bedrijven die een hardware cycle van 3 jaar hebben. Eerder 6 jaar in werkelijkheid.

Voor thuisgebruikers die het apparaat van de provider hebben zou hetzelfde gelden: voor de provider is het in 3 jaar afgeschreven, toch? En niet iedereen heeft gelijkertijd een abbo afgesloten, het is een lopend process, continue investering.

[Reactie gewijzigd door gjmi op 8 januari 2018 23:02]

Nou, nou, elke 3 jaar een nieuwe omvormer, audio installatie, router, repeater, tv, laptop, game console?
Bij mij gaan die dingen echt veel langer mij, een mobieltje, ja die gaat vaak binnen 3 jaar stuk... maar om de rest allemaal zo snel te vervangen... dat lijkt me uitzonderlijk.

En zakelijk doe ik meestal ook 5 jaar met dezelfde laptop, mobieltje of tablet, dat is anders. De laptop krijgt gewoon wat extra geheugen of een andere schijf en rats, gaan met die banaan. Wellicht in dit geval een nieuwe wifichip voor ax, als ze die apart op een insteek kaart aan de binnenkant hebben zitten.

[Reactie gewijzigd door djwice op 8 januari 2018 23:14]

Ik ben benieuwd welke apparaten we starks allemaal kunnen upgraden en welke niet :)
TV, audio, mobiel, router, repeater, chromecast, lampen, sensoren, ... etc.

En wat de impact van een apparaat dat niet upgrade dan is op je netwerk.
Dat apparaat zal dan waarschijnlijk terig moeten vallen op de huidige standaarden en niet de extra beveiligingsopties krijgen zoals nu ook al het geval met WPA en WPA2. Ik heb nu hard versie twee afgedwongen in onze accespoints omdat dit eigenlijk door ieder apparaat wel wordt ondersteund, maar straks krijg je waarschijnlijk verschillende fallback combis.
M.i. hoeft echt niet alles direct de hoogst mogelijke beveiliging te hebben, afhankelijk van het gebruik. De Chromecast is een goed voorbeeld, want hoe erg is nu dat iemand kan zien welke Netflix serie je aan het kijken bent? Als je diezelfde Chromecast gebruikt om aan een beperkte groep investeerders een geheim prototype te laten zien, waarvan de patentaanvraag nog moet worden ingediend, wordt het natuurlijk een ander verhaal. Maar dat is sowieso niet verstandig, omdat Google mee kan kijken, gezien het feit dat alles via de servers van Google verloopt. Verder wil je uiteraard internetbankieren veilig kunnen gebruiken op een telefoon. De gemiddelde consument zal daardoor waarschijnlijk wel bereid zijn om te investeren in nieuwe hardware. Tegen 2019 moet dat, gezien de vrij routerkeuze die er dit jaar aan komt, ook gewoon mogelijk zijn.
Hoeveel segmentatie heb je in je netwerk? En heb je in je interne netwerk een fileshare via je versleuteld benaderd waar wel privé dingen op staan, of een laptop / pc die een drive deelt met het netwerk.
Privé is het allemaal heel overzichtelijk: de administratie staat lokaal opgeslagen, inclusief back-ups. Alleen de foto's en video's staan gedeeltelijk ook in de cloud bij Google en Microsoft. Dat laatste is een herinnering aan mijn Windows Phone periode. 😌
Dit moet waarschijnlijk voorkomen dat kwaadwillenden nog langer open netwerken aan kunnen bieden om de verbindingen met die netwerken heimelijk te monitoren.
Dit klinkt niet erg waarschijnlijk. Op het moment dat iemand een Wi-Fi hotspot aanbiedt, ongeacht de beveiliging, kan diegene al het internetverkeer inzien dat naar de achterliggende provider gaat. Standaard versleuteling in open Wi-Fi netwerken biedt alleen bescherming tegen kwaadwillenden die bestaande hotspots af willen luisteren, maar als ze zelf een (evil twin)0 hotspot opzetten en gebruikers daarmee verbinden hebben ze alsnog de controle over het netwerkverkeer.

0: https://en.wikipedia.org/wiki/Evil_twin_(wireless_networks)
Klopt, maar misschien zit er nu een betere manier in om netwerken te valideren?
Vergelijk Ziggo hotspots, om te voorkomen dat iedereen een evil twin maakt en dat Ziggo noemt, moet je iets van 30 stappen doorlopen om een certificaat te installeren zodat dat niet meer kan. Wellicht hebben ze dat proces vereenvoudigt en haalt Tweakers die twee dingen nu wat doorelkaar?
Of je vult je naam en WW in zonder certificaat ...
Werkt het net zo goed

Alleen als jij de 'veiligheid' wilt van de controle of je op een origineel Ziggospot zit, moet je inderdaad de certificaten installeren.
Goede ontwikkeling. Wpa2 deed het redelijk goed maar is al heel oud. En tijdens al de jaren van wpa2 hebben we veel kunnen leren en het internet is tegenwoordig compleet veranderd in vergelijking met toen wpa2 net werd bedacht, dus ik vind het een gezonde, veilige en verstandige keuze om wpa3 te gaan introduceren. Het is nu 2018 dus ik neem aan dat tegen 2020 de meeste (nieuwe) routers en smartphones deze standaard wel ondersteunen.

En het is natuurlijk hoogtijd dat openbare wifi ook geencrypt word, want unencryoted data overdracht? Het is de 21e eeuw, geen tijd meer van verbindingen zonder beveiliging die door elke 12 jarige met de eerste de beste app kunnen worden onderschept en afgelezen.

[Reactie gewijzigd door Helium-3 op 8 januari 2018 23:01]

En het is natuurlijk hoogtijd dat openbare wifi ook geencrypt word, want unencryoted data overdracht? Het is de 21e eeuw, geen tijd meer van verbindingen zonder beveiliging die door elke 12 jarige met de eerste de beste app kunnen worden onderschept en afgelezen.
Dat is op zich wel waar, maar moet je je niet op verkijken.
Als je nu verbinding maakt met een onbeveiligd netwerk, is dat over het algemeen een hotspot.
Gebruik je daarover dan onversleutelde protocollen, dan zijn die mee te lezen.

Maar is de beheerder van een hotspot niet te vertrouwen (of zit er iemand met een nagemaakt netwerk) en ga je daar via op internet, kan die beheerder alsnog alles meelezen.

Dat geldt ook voor hotspots die wel met wpa2 of wpa3 zijn beveiligd.

Daarom: gebruik altijd SSL of TLS, en juist in je mailprogramma (anders gaat je mailwachtwoord onversleuteld over de lijn en aks iemand eenmaal je mailwachtwoord heeft, kan hij al je wachtwoorden overal zo’n beetje resetten). En klik meldingen over ongeldige certificaten nooit zomaar weg en al helemaal niet op een publiek wifi-netwerk.
Ik geniet zelf een betaalde VPN om precies die redenen die jij noemt. Nu moet ik alleen nog mijn VPN provider vertrouwen. Want dat is hetzelfde verhaal, je verplaatst het probleem (de afluistermogelijkheid) alleen maar, in dit geval naar je VPN provider

[Reactie gewijzigd door Helium-3 op 9 januari 2018 08:50]

Is er iemand die kan bevestigen of moderne routers geupdate kunnen worden om wpa3 te ondersteunen?
Ik vroeg me al een paar jaren af waarom er in hemelsnaam niet een wachtwoord-loze oplossing voor de open wifi netwerken was. Gelukkig zit dat er nu dus aan te komen.
Dit is nieuws dat ik horen! En nu zien hoe fabrikanten dit zullen updaten in hun huidige routers. Ik hoop ten zeerste dat vele routers hiervoor een update krijgen maar hoop meer op een ddrwrt patch voor mn router.
Moest er zich nog iemand afvragen wat MU-MIMO is: het is een technologie die naar meerdere apparaten tegelijk kan sturen en ontvangen.

De huidige routers kunnen maar 1 apparaat tegelijk bedienen, al merk je daar in de praktijk niets van omdat ze meerdere keren per seconde veranderen van apparaat. Dan moet de router wel zijn bandbreedte verdelen over 2 apparaten. Met MU-MIMO kunnen die 2 apparaten echt simultaan een signaal krijgen (als ze ver genoeg uit elkaar zijn), waardoor de bandbreedte in dat geval dus theoretisch x2 kan (of x4 bij 4 apparaten).

Het is dus niet zo dat 1 apparaat 4x snellere Wi-Fi krijgt, waardoor het praktijkvoordeel van deze techniek eerder beperkt is bij privé gebruik.

Een begrijpbare uitleg staat hier:
https://www.howtogeek.com...o-i-need-it-on-my-router/

[Reactie gewijzigd door Giesber op 9 januari 2018 09:51]

Daarnaast komt er individuele encryptie van verbindingen met open netwerken, om de privacy van de gebruiker te beschermen. Dit moet waarschijnlijk voorkomen dat kwaadwillenden nog langer open netwerken aan kunnen bieden om de verbindingen met die netwerken heimelijk te monitoren.
Hoe dan?? Ik kan toch prima een gecompromiteerde (niet-WPA3) wifi router aanbieden zonder encryptie? Hoe zou WPA3 dan moeten voorkomen dat argeloze gebruikers zullen connecten naar mijn netwerkje?

Uit de (zeer magere) tekst van wifi alliance:
Another feature will strengthen user privacy in open networks through individualized data encryption.
Misschien dat WPA3 een open-netwerk modus heeft, waarbij je zonder wachtwoord kunt connecten maar waarbij de nieuwe WPA3 standaard ervoor zorgt dat de connectie tussen apparaat en wifi punt toch beveiligd is. Dat werkt m.i. dan alleen maar als de apparaten ook WPA3 ondersteunen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*