News WPA3-Schwachstellen: WLAN-Passwort ist auch mit neuem Standard unsicher

[Frank]

Zwei Sicherheitsforscher haben insgesamt fünf Schwachstellen im WLAN-Authentifizierungsstandard WPA3 aufgedeckt und nun veröffentlicht, die auch die Wiederherstellung von Passwörtern ermöglichen. In der Praxis sei WPA3, das erst Mitte 2018 verabschiedet wurde, somit nicht mehr sicherer als das 14 Jahre alte WPA2.

Zur News: WPA3-Schwachstellen: WLAN-Passwort ist auch mit neuem Standard unsicher

 

[benneq]

Kann man solche Forscher nicht den Standard überprüfen lassen, bevor er veröffentlicht wird?
Im Gegensatz zu Early Access Games, kann man hier nicht einfach so nachpatchen.

 

[Compu-Freak]

Kann man froh sein, dass nicht so viele Spezis unterwegs sind.

 

[testwurst200]

"in dem wissenschaftlichen Paper"???

 

[deo]

Und ich dachte, ich müsse mich von der Fritzbox 7390 verabschieden, weil sie mit WPA2 unsicher sei.

 

[Joshua]

Solche Geburtsfehler sollten nicht passieren, zumal genug Leute an der Entwicklung solcher Standards beteiligt sind. Jetzt ist das Kind in den Brunnen gefallen, und komplett auf allen Geräten gefixt wird das Problem sicher auch nie - wäre ein Novum.

"in dem wissenschaftlichen Paper"???

"Veröffentlichung" ist schöner, aber "Paper" auch in D durchaus Umgangssprache.

 

[Hyourinmaru]

Wozu dann einen neuen Standard entwickeln, wenn der Nachfolger nichts mehr als der Vorgänger kann?
Lustig

 

[benneq]

@Hyourinmaru Na, weil diese "schlauen" Köpfe auch irgendwie ihre Familien ernähren müssen

 

[Heinzelwaffel]

Kann man solche Forscher nicht den Standard überprüfen lassen, bevor er veröffentlicht wird?

Das ist ein bisschen Trugschluss, weil es eben ein Jahr lang gedauert hat, bis die IT-Welt eines 7 Milliarden Menschen Planeten eine Lücke gefunden hat, in einem Protokoll welches ein kleines Gremium innerhalb kurzer Zeit ausgearbeitet hat.

 

[Corros1on]

Sicher ist, dass nichts sicher ist. Selbst das nicht.

Kurz Sicherheit ist relativ und eher ein Gefühl!

 

[andr_gin]

Die Frage ist kann wirklich das Kennwort rekonstruiert werden oder nur der gerade aktive Key? Falls man echt das Passwort rekonstruieren kann wäre das ein ordentlicher Fail, denn Passwörter hashen bevor man aus ihnen den Key generiert ist nun wirklich keine Kunst.

 

[deo]

Vielleicht erfindet jemand mal ein WLAN, dass nicht über die eigenen vier Wände hinausgeht. Das ist sicherer als eine Verschlüsselung, die sich grundsätzlich mit purer Rechenleistung überwinden lässt.
Mit purer Rechenleistung war auch das erste Bild von einem Schwarzen Loch möglich. Man muss einfach nur genug Rechenleistung haben, um Dinge tun zu können, die sonst nicht möglich sind.

 

[Postman]

Es geht halt nichts über das gute alte WLAN Kabel

 

[Heinzelwaffel]

Vielleicht erfindet jemand mal ein WLAN, dass nicht über die eigenen vier Wände hinausgeht. Das ist sicherer als eine Verschlüsselung, die sich grundsätzlich mit purer Rechenleistung überwinden lässt.
Mit purer Rechenleistung war auch das erste Bild von einem Schwarzen Loch möglich. Man muss einfach nur genug Rechenleistung haben, um Dinge tun zu können, die sonst nicht möglich sind.

Man bräuchte entsprechende Farbe/Putz/Dämmung.

 

[Corros1on]

Man bräuchte entsprechende Farbe/Putz/Dämmung.

Oder nur einen Faradayischer Käfig

 

[ShadowDragon]

Also mich wundert diese Sicherheitslücke nicht wirklich. Ein Standard welcher von einem kleinen Gremium hinter verschlossenen Türen entwickelt wird macht es nunmal leichter, das Lücken erst im Nachhinein auffallen. Die ganzen WPA Versionen haben ja auch noch das Problem, das es verschiedene Versionen gibt, so gibt es z.B. bei WPA2 eine Business Variante mit weiteren Sicherheitsfeatures. Ich möchte gar nicht erst wissen was alles nicht implementiert wurde oder nur in bestimmten Business Versionen enthalten ist, um den meisten Gewinn zu machen.

 

[Acrylium]

Können eigentlich auch ältere Netzwerkkarten WPA3, also ist das rein softwarebasiert oder braucht man dafür neue Hardware in Form neuer Netzwerkkarten?

 

[tstorm]

Kann man solche Forscher nicht den Standard überprüfen lassen, bevor er veröffentlicht wird?
Im Gegensatz zu Early Access Games, kann man hier nicht einfach so nachpatchen.

Leider gibt es überhaupt keine Technik, die absolut sicher ist oder absolute Sicherheit versteckt. Meistens sitzt das Problem aber vor dem PC, daher brauchst du dir bei entsprechender Umsicht nicht viele Sorgen machen.

 

[benneq]

@Heinzelwaffel Und gerade deshalb sollte man seinen geistigen Unfug nicht sofort als final 1.0 veröffentlichen, wenn man "denkt", dass er fertig ist. Nur weil da gerade eine Hand voll bezahlter Firmen mal drüber gekuckt hat. Solche Standards sollte man generell ein Jahr "liegen" lassen, mit dem Hinweis, dass der Kram in einem Jahr genau so als final veröffentlicht wird, wenn keiner was einzuwenden hat.
Mir ist bewusst, dass danach immer noch Sachen gefunden werden können. Aber die Wahrscheinlichkeit ist deutlich geringer.
Ich finde den Standardisierungsprozess bei WPA nicht gut. Zumindest finde ich keine Drafts, keine Paper aus der Entwicklung. Aber das liegt wohl an IEEE. Den Prozess der IETF finde ich da deutlich offener.

 

[Schmarall]

Kann man solche Forscher nicht den Standard überprüfen lassen, bevor er veröffentlicht wird?

Natürlich. Aber es sind ja Firmen im Hintergrund, und die wollen lieber schon gestern als erst morgen Geld verdienen damit. Also muss das schnell-schnell hinteschludert werden und ab in die Produktion. Kann man ja notfalls noch patchen - zumindest nach Managerdenke. Dass das praktisch dann ggfs. gar nicht geht, daran ist ja dann die Technik schuld.