Contents
Các loại bảo mật WiFi
Các loại bảo mật WiFi phổ biến nhất là WEP, WPA và WPA2.
So sánh WEP và WPA
Wired Equivalent Privacy (WEP) là phương thức mã hóa WiFi lâu đời nhất và cũng kém an toàn nhất. Cách mà WEP bảo vệ kết nối WiFi thật tệ hại, vì vậy nếu đang sử dụng WEP, bạn cần thay đổi loại bảo mật này ngay lập tức.
Hơn nữa, nếu đang sử dụng bộ định tuyến cũ chỉ hỗ trợ WEP, người dùng cũng nên nâng cấp nó để bảo mật và kết nối tốt hơn.
Tại sao ư? Các cracker (cracker là những người giỏi về máy tính, nhưng chỉ dùng tài năng của mình để phục vụ cho lợi ích riêng tư một cách bất hợp pháp) đã tìm ra cách phá vỡ mã hóa WEP và điều này được thực hiện dễ dàng bằng các công cụ có sẵn miễn phí. Năm 2005, FBI đã đưa ra các luận cứ công khai về việc sử dụng các công cụ miễn phí nhằm nâng cao nhận thức của mọi người. Hầu như ai cũng có thể làm được. Do đó, WiFi Alliance đã chính thức từ bỏ tiêu chuẩn WEP vào năm 2004.
Đến thời điểm hiện tại, người dùng nên sử dụng phiên bản WPA.
Các định nghĩa về WPA và WPA2
Tiêu chuẩn WEP không an toàn trước đây là tiền thân của WiFi Protected Access (WPA). WPA chỉ là bước đệm cho WPA2.
Khi WEP trở nên không an toàn, WiFi Alliance đã phát triển WPA để cung cấp cho các kết nối mạng một lớp bảo mật bổ sung trước khi phát triển và giới thiệu WPA2. Các tiêu chuẩn bảo mật của WPA2 luôn là những mục tiêu đáng mơ ước.
WPA3
Hiện tại, phần lớn router và kết nối WiFi đều sử dụng WPA2, vì vẫn an toàn trước nhiều lỗ hổng trong tiêu chuẩn mã hóa.
Tuy nhiên, bản nâng cấp mới nhất cho WiFi Protected Access – WPA3 đã xuất hiện. WPA3 sở hữu một số cải thiện quan trọng cho bảo mật không dây hiện đại, bao gồm:
- Bảo vệ khỏi các cuộc tấn công Brute Force: WPA3 sẽ bảo vệ người dùng, ngay cả khi họ dùng mật khẩu yếu, khỏi các cuộc tấn công Brute Force.
- Bảo mật mạng công cộng: WPA3 bổ sung mã hóa dữ liệu cá nhân, theo lý thuyết, mã hóa kết nối của người dùng đến điểm truy cập không dây, dù có mật khẩu hay không.
- Bảo mật Internet of Things: WPA3 xuất hiện vào thời điểm các nhà phát triển thiết bị Internet of Things đang phải chịu áp lực rất lớn để cải thiện bảo mật cơ sở.
- Mã hóa mạnh hơn: WPA3 bổ sung mã hóa 192-bit mạnh hơn nhiều, cải thiện đáng kể mức độ bảo mật.
WPA3 vẫn chưa tiến vào thị trường router tiêu dùng, mặc dù theo dự đoán, đáng lẽ điều này đã phải diễn ra vào cuối năm 2018. Việc chuyển từ WEP sang WPA và từ WPA sang WPA2 đã mất một thời gian dài, vì vậy không có gì phải lo lắng ở thời điểm hiện tại cả.
Hơn nữa, các nhà sản xuất phải phát hành các thiết bị tương thích ngược với các bản sửa lỗi, quá trình này có thể mất vài tháng, thậm chí là nhiều năm.
So sánh WPA, WPA2 và WPA3
Cụm từ WiFi Protected Access được lặp lại đến 3 lần. WPA và WPA2 thì đã quá quen thuộc rồi, nhưng WPA3 thì có vẻ hơi lạ tai, nhưng nó sẽ sớm xuất hiện trên bộ định tuyến thôi. Vậy 3 loại bảo mật này khác gì nhau? Và tại sao WPA3 lại tốt hơn WPA2?
WPA dễ bị tấn công
WPA gần như “không có cửa” khi đặt lên bàn cân với 2 đối thủ còn lại. Mặc dù sở hữu tính năng mã hóa khóa công khai mạnh và sử dụng WPA-PSK 256-bit (Pre-Shared Key), WPA vẫn còn một số lỗ hổng “thừa hưởng” từ tiêu chuẩn WEP cũ (cả hai đều có chung tiêu chuẩn mã hóa luồng dễ bị tấn công, RC4).
Các lỗ hổng tập trung vào việc giới thiệu Temporal Key Integrity Protocol (TKIP).
Bản thân TKIP là một bước tiến lớn, vì nó sử dụng hệ thống key trên mỗi gói để bảo vệ từng gói dữ liệu được gửi giữa các thiết bị. Thật không may, việc triển khai TKIP WPA phải tính đến cả các thiết bị WEP cũ.
Hệ thống TKIP WPA mới đã “tái chế” một số khía cạnh của hệ thống WEP dễ bị tấn công và tất nhiên, những lỗ hổng tương tự đó cũng đã xuất hiện trong tiêu chuẩn mới.
WPA2 thay thế WPA
WPA2 chính thức thay thế WPA vào năm 2006. Nhưng dù sao WPA đã từng có một thời gian ngắn là “đỉnh cao” của mã hóa WiFi.
WPA2 mang đến một bản nâng cấp bảo mật và mã hóa khác, đáng chú ý nhất là việc giới thiệu Advanced Encryption Standard (AES) cho các mạng WiFi tiêu dùng. AES mạnh hơn đáng kể so với RC4 (vì RC4 đã từng bị “bẻ khóa” nhiều lần) và là tiêu chuẩn bảo mật được áp dụng cho nhiều dịch vụ trực tuyến tại thời điểm hiện tại.
WPA2 cũng giới thiệu Counter Cipher Mode with Block Chaining Message Authentication Code Protocol (Chế độ mã hóa truy cập với giao thức mã xác thực thông báo chuỗi khối), gọi tắt là CCMP, để thay thế TKIP dễ bị tấn công hiện nay.
TKIP vẫn là một phần của tiêu chuẩn WPA2, cũng như cung cấp chức năng cho các thiết bị chỉ có WPA.
Tấn công KRACK WPA2
Cuộc tấn công KRACK là lỗ hổng đầu tiên được tìm thấy trong WPA2. Key Reinstallation Attack (KRACK) là một cuộc tấn công trực tiếp vào giao thức WPA2 và không may làm suy yếu mọi kết nối WiFi bằng WPA2.
Về cơ bản, KRACK làm suy yếu khía cạnh quan trọng trong quy trình bắt tay 4 bước của WPA2, cho phép tin tặc chặn và thao túng việc tạo khóa mã hóa mới trong quy trình kết nối an toàn.
Nhưng ngay cả khi KRACK có sức sát thương mạnh đến vậy, thì khả năng ai đó sử dụng công cụ này để tấn công mạng gia đình cũng rất mong manh.
WPA3: Sự đáp trả của WiFi Alliance
WPA3 ra đời hơi muộn nhưng cung cấp bảo mật cao hơn nhiều. Chẳng hạn, WPA3-Personal cung cấp mã hóa cho người dùng ngay cả khi tin tặc đã “bẻ khóa” mật khẩu sau khi kết nối với mạng.
Hơn nữa, WPA3 yêu cầu tất cả các kết nối sử dụng Protected Management Frames (PMF). PMF về cơ bản tăng cường bảo vệ quyền riêng tư, với các cơ chế bảo mật bổ sung để bảo mật dữ liệu.
Chuẩn AES 128-bit vẫn được giữ nguyên cho WPA3 (một minh chứng cho tính bảo mật “trường tồn” của nó). Tuy nhiên, các kết nối WPA3-Enterprise vẫn cần có AES 198-bit. Người dùng WPA3-Personal cũng sẽ có tùy chọn sử dụng AES 198-bit cường độ cao.
WPA2-PSK là viết tắt của Pre-Shared Key, còn được biết đến là Personal mode, dành riêng cho các mạng văn phòng nhỏ và mạng gia đình.
Bộ định tuyến không dây mã hóa lưu lượng mạng bằng một key. Với WPA-Personal, key này là cụm mật khẩu WiFi được thiết lập trên bộ định tuyến. Trước khi một thiết bị có thể kết nối với mạng và “hiểu” mã hóa, người dùng phải nhập cụm mật khẩu trên đó.
Điểm yếu trong thực tế của mã hóa WPA2-Personal là cụm mật khẩu yếu. Vì nhiều người thường sử dụng mật khẩu yếu cho các tài khoản trực tuyến, nên việc họ sử dụng cụm mật khẩu yếu tương tự để bảo mật mạng không dây cũng chẳng có gì lạ. Nguyên tắc là phải sử dụng mật khẩu mạnh để bảo mật mạng nếu không WPA2 cũng chẳng thể giúp gì nhiều.
WPA3 SAE là gì?
Khi sử dụng WPA3, người dùng sẽ sử dụng giao thức trao đổi key mới có tên Simultaneous Authentication of Equals (SAE). SAE, còn được biết là Dragonfly Key Exchange Protocol (Giao thức trao đổi key Dragonfly), một phương thức trao đổi key an toàn hơn nhằm giải quyết lỗ hổng KRACK.
Cụ thể, nó có khả năng chống lại các cuộc tấn công giải mã ngoại tuyến thông qua việc cung cấp Forward secrecy (là một phần trong quá trình giao tiếp giữa trình duyệt và máy chủ qua giao thức HTTPS). Forward secrecy ngăn chặn kẻ tấn công giải mã một kết nối internet được ghi lại trước đó, ngay cả khi chúng biết mật khẩu WPA3.
Cũng như vậy, WPA3 SAE sử dụng kết nối ngang hàng peer-to-peer để thiết lập trao đổi và loại bỏ khả năng một kẻ trung gian độc hại chặn các key.
WiFi Easy Connect là gì?
WiFi Easy Connect là một chuẩn kết nối mới được thiết kế để đơn giản hóa việc cung cấp và cấu hình các thiết bị WiFi.
Trong đó, WiFi Easy Connect cung cấp mã hóa khóa công khai mạnh mẽ cho mỗi thiết bị được thêm vào mạng, ngay cả những ứng dụng có ít hoặc không có giao diện người dùng, chẳng hạn như nhà thông minh và các sản phẩm IoT.
Chẳng hạn, trong mạng gia đình, người dùng sẽ chỉ định một thiết bị làm điểm cấu hình trung tâm. Điểm cấu hình trung tâm phải là một thiết bị đa phương tiện, như điện thoại thông minh hoặc máy tính bảng.
Sau đó, thiết bị đa phương tiện được sử dụng để quét mã QR, lần lượt chạy giao thức WiFi Easy Connect theo thiết kế của WiFi Alliance.
Quét mã QR (hoặc nhập mã cụ thể cho thiết bị IoT) sẽ mang lại cho thiết bị kết nối sự bảo mật và mã hóa giống như các thiết bị khác trên mạng, ngay cả khi việc cấu hình trực tiếp không thể thực hiện. WiFi Easy Connect, kết hợp với WPA3, sẽ tăng cường bảo mật cho mạng IoT và thiết bị nhà thông minh.
Bảo mật WiFi vô cùng quan trọng
Ngay tại thời điểm viết bài, WPA2 vẫn là phương thức mã hóa WiFi an toàn nhất, vì nó tính đến cả lỗ hổng KRACK. Dù KRACK chắc chắn là một vấn đề, đặc biệt là đối với các mạng doanh nghiệp, nhưng người dùng bình thường khó có thể gặp phải kiểu tấn công này (tất nhiên trừ khi bạn là một nhân vật tầm cỡ).
WEP rất dễ bị bẻ khóa, do đó không nên sử dụng nó cho bất kỳ mục đích nào. Hơn nữa, nếu đang có các thiết bị chỉ có thể sử dụng bảo mật WEP, người dùng nên xem xét thay thế chúng để tăng cường bảo mật cho mạng.
Cũng cần lưu ý rằng WPA3 sẽ không xuất hiện một cách kỳ diệu và bảo mật tất cả các thiết bị trong nháy mắt. Việc giới thiệu một tiêu chuẩn mã hóa WiFi mới và áp dụng nó rộng rãi là một quá trình lâu dài.
Tỷ lệ thành công của việc này phụ thuộc vào việc các nhà sản xuất thiết bị mạng nói chung và các nhà sản xuất bộ định tuyến nói riêng có áp dụng WPA3 cho các sản phẩm của mình không.