WPA3Wi-Fi加密制式正式推出密码简单都不易被骇客入侵

大家设定 Router Wi-Fi 密码时，有没有留意到是用 WPA2 加密协议？其实 WPA2 自 2004 年已面世，至今过了 14 年都仍是“最安全”的加密制式，可是去年就爆出 KRACKs 漏洞，令骇客可轻易连接 Wi-Fi AP 、入侵内部网络，因此 Wi-Fi Alliance 日前就正式推出 WPA3 新制式，包括 WPA3-Personal 和 WPA3-Enterprise 两种，为装置提供更强的保护。（今年一月初亦曾透露过 WPA3 制式的简介，可参考此文章。）

讲到 Wi-Fi 密码，相信许多人都知道应该设定得有多长就多长，还要加入大写字母、数字符号等，例如 password 变成 P@ssw0rd。可是扪心自问，一生人要记那么多密码，设定得太复杂也恐怕自己会忘记。因此不少人都为求方便，而设定一些非常简单的 Wi-Fi 密码，例如是家庭姓氏、电话号码、或者是一些英文词汇之类，但这样做就很轻易被骇客破解。目前的 WPA2 加密制式容许骇客发动 Brute-Force Dictionary Attack ，不断拿字典里所有的字词去试猜密码，若你使用一般字词作密码，就很易被猜得中。可是极少人会按以上规则设定复杂的密码，所以 WPA3-Personal 新加密制式就会转用 Simultaneous Authentication of Equals（SAE / 对等同时认证）Handshake 交握方法，防止骇客不断测试密码，限制每次只能猜一次，猜错太多次就会被封锁，令一些密码过于简单的用户，都不易被骇客入侵网络。（当然为保安全，都是建议大家采用复杂的 Wi-Fi 密码。）

使用太简单的 Wi-Fi 密码，就很易被骇客透过 Dictionary Attack 入侵网络。图片来源：ESET

SAE Handshake 亦支援 Forward Secrecy（前向保密），即使不幸被骇客成功入侵网络，入侵之前的通讯数据都依然保密，令骇客只能读取到入侵成功后的数据传输，不像目前 WPA2 那样，可以解密到以前的通讯；另外也修补到 WPA2 4-Way Handshake 的 KRACKs 漏洞。而 WPA3-Enterprise 就比 WPA3-Personal 多出了相当于 192-Bit 的加密强度，令政府、金融、军事等界别的敏感资料传输，可享更佳的安全防护。

除此之外， Wi-Fi Alliance 亦正式发表 Wi-Fi Enhanced Open 及 Wi-Fi CERTIFIED Easy Connect 认证，前者是保护用户连接无密码的公共 Wi-Fi 时，都不会被骇客窃听到资料；后者则简化无屏幕 IoT 装置加入网络的步骤，用户只需扫描 IoT 装置机底下的 QR Code ，以及 Router 的 QR Code，就能把装置安全地加进 Wi-Fi 网络。

Wi-Fi Enhanced Open 旨在为商场、咖啡店、酒店和机场等免费公共 Wi-Fi，提供更高安全防护。

目前 Intel、Broadcom、Qualcomm、Marvell、Cisco、Aruba 及 Huawei 等大型厂商，已承诺未来会推出支援 WPA3 的产品，预计到 2019 年年尾就会被广泛应用，而 WPA2 与 WPA3 的装置都依能相互连接，大家无需担心兼容性的问题。

Source：Wi-Fi Alliance、Wired