WPA3 anunciado. Realmente necesario?

Según The Hacker News , aquí hay mejoras importantes:

  

• El protocolo WPA3 fortalece la privacidad del usuario en redes abiertas a través del cifrado de datos individualizado.
  
• El protocolo WPA3 también protegerá contra los ataques de diccionario de fuerza bruta, evitando que los piratas informáticos realicen múltiples intentos de inicio de sesión con
    utilizando contraseñas de uso común.
  
• El protocolo WPA3 también ofrece seguridad simplificada para dispositivos que a menudo no tienen pantalla para configurar los ajustes de seguridad, es decir, IoT   dispositivos.
  
• Finalmente, habrá una suite de seguridad de 192 bits para proteger las redes de los usuarios de WiFi con mayores requisitos de seguridad, como
    Gobierno, defensa y organizaciones industriales.
  

Por lo tanto, creo que tiene algunas mejoras de seguridad sobre WPA2

  

¿Alguien sabe exactamente que es nuevo? Características, mejoras de seguridad, etc ...

De lo que he podido reunir hasta ahora, parece ser un par de características nuevas necesarias y un par de características opcionales.

• Se requiere el cifrado inalámbrico oportunista (OWE). Basado en RFC 8110 , esto pretende, en última instancia, desplazar las redes inalámbricas abiertas. Esto agrega un cifrado simple a los clientes sin la necesidad de configurar un PSK. Sin embargo, la falta de un PSK parece dejar esto vulnerable a los ataques MitM. Mejor que transmitir de forma clara, pero no por mucho.
• Autenticación simultánea de iguales (SAE): requerida. Una modificación del protocolo de enlace para ayudar a prevenir ataques de estilo de diccionario en los PSK.
• Cifrado AES de 192 bits - opcional. Un aumento de la fuerza criptográfica utilizada en la tecnología inalámbrica de hoy (encriptación de 128 bits).
• Protocolo de aprovisionamiento de dispositivos (DPP): opcional. Una forma de agregar dispositivos a una red segura fácilmente. Parece ser un reemplazo de la WPS, que se ha roto por un tiempo.

Hasta ahora, nada cambia dramáticamente el aspecto de la seguridad inalámbrica, más mejoras que un nuevo protocolo. Sin embargo, es una nueva certificación de la WFA que los dispositivos deberán cumplir si desean usar WPA3 en su documentación / marketing.

  

¿Es por el ataque de Krack? Pensé que parchar WPA2 es suficiente.

Directamente no. Indirectamente, diría que sí. Tenga en cuenta que WPA2 (802.11i) tiene casi una década y media de antigüedad. Si bien (parcheado) permanece seguro hoy, este es un tiempo largo para un protocolo de seguridad y KRACK hizo que muchas personas reconsideren una vez más el papel de la seguridad inalámbrica.

La Alianza WiFi está simplemente fortaleciendo la seguridad que existe actualmente.

Tomaré un momento para notar que, a diferencia de las versiones anteriores de WPA, WPA3 no se basa en una enmienda IEEE a 802.11 (WPA basada en el borrador 802.11i, WPA2 basada en 802.11i). No dudo que haya una discusión sobre un nuevo grupo de trabajo de IEEE para buscar la actualización de la seguridad inalámbrica, pero no tengo conocimiento de ninguna que esté formada en este momento.

  

¿Es realmente necesario WPA3 debido a sus mejoras de seguridad? ¿O es solo una actualización "no obligatoria"?

No es obligatorio. Sin embargo, WPA3 ayuda a fortalecer la seguridad inalámbrica.

Tenga en cuenta que WPA3 realmente no parece ser un reemplazo de WPA2, sino solo características adicionales que la WFA requerirá para obtener sus certificaciones.