WPA3 ist der aktuellste Verschlüsselungsstandard für WLANs und immer mehr Geräte beherrschen ihn. In der Fritzbox müssen Sie WPA3 explizit aktivieren. Wir erklären, was hinter WPA3 steckt, wie Sie die Verschlüsselung nutzen und Probleme in der Praxis umschiffen.
Die mit einem Symbol oder grüner Unterstreichung gekennzeichneten Links sind Affiliate-Links. Kommt darüber ein Einkauf zustande, erhalten wir eine Provision - ohne Mehrkosten für Sie! Mehr Infos.
Die heute immer noch häufig eingesetzte WLAN-Verschlüsselung WPA2 war viele Jahre der Goldstandard, sie hat mittlerweile aber schon 15 Jahre auf dem Buckel, eine digitale Ewigkeit. Mit der im Herbst 2017 entdeckten KRACK-Lücke hat sich auch die Sicherheitsbewertung geändert, denn im Zuge dessen deckten Forscher strukturelle Sicherheitsprobleme in der Verschlüsselung auf. Die gute Nachricht in der schlechten lautete, dass sich die Probleme mit Updates in den Griff bekommen lassen. Ein gut gepflegtes WLAN mit einem komplexen Passwort ist mit WPA2 auch jetzt noch sicher.
Tipp: Wählen Sie ein möglichst langes WLAN-Passwort, das Sie am besten von einem Passwort-Manager erzeugen lassen, dann ist auch WPA2 noch gut aufgestellt.
Aber es bleibt ein schaler Beigeschmack, denn längst nicht alle Geräte mit WPA2 haben ein Update erhalten. Das sah die für den Standard zuständige Wi-Fi Alliance (WFA) voraus und hat gehandelt: Schon Mitte 2018 wurde die Spezifikation für WPA3 fertiggestellt. Dabei hat man sich an die unter Kryptoexperten anerkannten Suite-B-Empfehlungen der NSA orientiert, um WLAN-Verschlüsselung sicherer zu machen.
Download: KeePassXC
KeePassXC 2.7.4
1
KeePassXC 2.7.4
Version 1.2.39
KeePassXC ist eine Weiterentwicklung des beliebten Passwort-Managers mit Browser-Unterstützung.
Passwort-Manager wie KeePassXC merken sich auch lange WLAN-Passwörter.
Bild: CHIP
Schnellschuss-Standardisierung
Die Lücken in WPA2 haben die Fertigstellung von WPA3 beschleunigt. Sie haben leider aber auch dafür gesorgt, dass von vielen sehr guten Ideen nur noch zwei als wirklich verpflichtende Elemente in der finalen Fassung übriggeblieben sind. Eine dieser Neuheiten ist zudem nicht so neu – zumindest nicht exklusiv für WPA3. Die Protected Management Frames (PMF) sind schon in WPA2 optional vorhanden, und einige Hersteller, etwa AVM oder Lancom, bauen dieses Sicherheitsmerkmal auch in WLAN-Router (schauen Sie sich hier unsere Bestenliste an) ein, die nur WPA2 beherrschen.
PMF setzt an folgender Schwachstelle an: Die im WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen werden unverschlüsselt gesendet. Konsequenz: Jeder Lauscher innerhalb einer WLAN-Zelle kann die Informationen empfangen und auswerten, selbst wenn er nicht angemeldet ist. Damit lässt sich eine verschlüsselte Datenverbindung zwar nicht abhören, aber durch gefälschte Management-Informationen stören. PMF richtet sich nach dem Standard IEEE 802.11w und codiert diese Management-Informationen, sodass eine derartige WLAN-Störung damit nicht mehr funktioniert. PMF ist mit WPA3 verpflichtend, was in der Praxis aber ab und zu zu Problemen führt.
Herzstück von WPA3 und der Hauptgrund, warum die neue Verschlüsselung wirklich mehr Sicherheit bringt, ist die verbesserte Authentifizierung mit dem etwas sperrigen Namen Simultaneous Authentication of Equals (SAE). Bisher authentifiziert sich ein
Client, also ein Notebook oder Smartphone gegenüber der WLAN-Basis – aber nicht umgekehrt. Bei SAE authentifiziert sich auch die WLAN-Basis. Zudem wird das gemeinsam genutzte Geheimnis nicht übertragen. Bei WPA2 war das noch so, was in der Praxis dazu führt, dass
Angreifer beispielsweise über Man-in-the- Middle-Attacken die verschlüsselten Daten mitschneiden können. Dem aufgezeichneten Handshake zwischen Client und Hotspot kann man dann nachträglich per Brute-Force-Attacke auf den Pelz rücken. Bei einem unsicheren WLAN-Passwort
könnte zum Beispiel eine Offline-Wörterbuchattacke schnell zum Erfolg führen.
Die Lücken von WPA2 waren entscheidend bei der schnellen Fertigstellung von WPA3.
Foto: Franziska Gabbert/dpa-tmn
Sicher gegen Brute-Force-Angriffe
Bei SAE laufen diese Offline-Attacken ins Leere, denn das Kennwort wird nicht zwischen Client und WLAN-Router übertragen, nicht mal in verschlüsselter Form. Client und WLAN-Basis nutzen das gleiche Passwort und schicken es in einem ersten Schritt durch diverse Hashfunktionen. WPA3 bringt hier mehr Sicherheit, da es bisher erlaubte unsichere Hashes wie SHA1 oder MD5 sperrt.
Für das gehashte WLAN-Passwort kommt nun die elliptische Kurven-Kryptografie zum Einsatz: Client und WLAN-Router stimmen sich über die Parameter einer elliptischen Kurve ab und erzeugen über das Passwort einen Punkt auf dieser Kurve. Jede Seite wählt dann noch eine Zufallszahl; der Client verwendet ein zufälliges u, der WLAN-Router eine Zahl v. Der Client berechnet uR, also ein Vielfaches von R auf der elliptischen Kurve, der wiederum berechnet und verschickt vR. Beide Seiten berechnen und vergleichen dann als Schlüssel das Gesamtprodukt uvR. Das Problem für Angreifer ist, dass sie zwar R und uR sowie vR abfangen, daraus aber u und v nicht berechnen können, denn dazu müssten sie den diskreten Logarithmus berechnen – ein bisher unlösbares mathematisches Problem.
Ein weiterer Vorteil der Authentifikation mit SAE: Selbst, wenn der Code geleakt wurde, können Angreifer aufgezeichnete Nachrichten nachträglich nicht entschlüsseln. Das Prinzip heißt Perfect Forward Secrecy (PFS).
Die neue Authentifizierung von Geräten ist mit WPA3 sicherer.
Bild: CHIP
WPA3 Voraussetzungen
WPA3 können Sie mittlerweile auf den meisten aktuellen WLAN-Routern nutzen. AVM unterstützt WPA3 ab FritzOS 7.20. Doch die neue Verschlüsselung wird nicht automatisch aktiviert und WPA3 muss auch von den Endgeräten unterstützt werden. Folgende Systeme sind für die neue Verschlüsselung:
- Windows 10: Ab Windows 10 1903 ist Support für WPA3 an Bord. Doch damit sich die neue Verschlüsselung nutzen lässt, müssen auch die Treiber der WLAN-Module mitspielen. Ältere Windows-Versionen sollten Sie ohnehin nur höchstens solange nutzen, bis der Support ausläuft. Der Windows 10 Update Assistent holt Ihnen neue Windows 10-Versionen auf den Rechner.
- Android: Ab Android 10 gibt es grundlegende WPA3-Unterstützung. Leider heißt das nicht, das auf jedem Handy- oder Tablet-Modell mit Android 10 auch WPA3 genutzt werden kann.
- iOS: Apple unterstützt WPA3 seit iOS 13.
- macOS: WPA3 ist seit macOS 10.15 an Bord.
Download: Windows 10 Update Assistent
Windows 10 Update Assistent 1.4.19041.2183
1
Windows 10 Update Assistent 1.4.19041.2183
Version 1.2.39
Mit dem Microsoft-Tool "Windows 10 Update Assistent" updaten Sie Ihren Rechner auf die aktuellste Windows-10-Version.
Fritzboxen ab FritzOS 7.20 unterstützen WPA3, schalten es aber nicht automatisch ein.
Bild: AVM
WPA3 auf der Fritzbox nutzen
WPA3 ist auf der Fritzbox schnell eingeschaltet. Melden Sie sich an der Fritzbox-Oberfläche an und navigieren Sie in den Bereich "WLAN" und "Sicherheit". Hier können Sie den WPA-Modus einstellen. Die passende Option nennt sich "WPA2 + WPA3", denn der Mischbetrieb stellt sicher, dass neben den WPA3-Geräten auch Geräte funktionieren, die WPA3 noch nicht beherrschen.
WPA3 lässt sich im Mischbetrieb mit WPA2 auf der Fritzbox nutzen.
Bild: CHIP
WPA3 killt WLAN-Verbindung
Nutzer, die WPA3 schon ausprobiert haben, hatten danach WLAN-Probleme auf einigen Geräten. Gängige Fehler sind zum Beispiel, dass sich WPA3-fähige Geräte trotz Umstellung noch mit WPA2 verbinden und dass manche Gerät gar nicht mehr im WLAN funktionieren. Die Lösung des ersten Problems klappt verhältnismäßig einfach: Man erwatet, dass sich Geräte nach der Umstellung auf WPA3 in der Fritzbox automatisch mit WPA3 verbinden. Doch manchmal bleibt auch WPA2 stehen. Dann müssen Sie auf dem betroffenen Gerät das WLAN löschen und die WLAN-Verbindung neu einrichten. Danach sollte der Client mit WPA3 laufen.
Das zweite Problem mit den nicht funktionierenden Verbindungen ist schon kniffliger zu lösen: Oftmals haben zum Beispiel WLAN-Drucker Probleme, sich in den WPA2/WPA3-Mischbetrieb einzuklinken. Eine wichtige Änderung ist mit WPA3, dass die PMFs verpflichtend sind. Wenn ein Client das nicht unterstützt, bleibt nur der Weg zurück zu reinem WPA2 oder Sie tauschen das Gerät aus.
Sie können mit der Fritzbox ganz einfach testen, ob die PMFs das Problem sind. Stellen Sie WPA2 als Verschlüsselung ein und deaktivieren Sie PMFs in den Sicherheitseinstellungen. Dann testen Sie das betroffene Gerät. Danach schalten Sie PMFs einfach zu und prüfen das Gerät erneut.
Manche Geräte scheitern an PMF, für WPA2 ist diese Funktion optional.
Bild: CHIP
WPA3-Probleme im Mesh-Betrieb
Wenn Ihr WLAN Zuhause nur von der Fritzbox aufgespannt wird, müssen Sie hier nicht weiterlesen. Doch viele Haushalte nutzen auch Repeater, um die WLAN-Reichweite auszudehnen. Hier ist es wichtig, Fritzbox und Repeater auf dem gleichen Software-Stand zu halten. Sollte die Fritzbox FritzOS 7.20 oder höher samt WPA3 nutzen, die Repeater aber nicht, kann es zu Problemen bei der Client-Anbindung kommen.
Verlieren Geräte hier beim Wechsel von Fritzbox zu Repeater und umgekehrt häufiger die Funkverbindung, sollten Sie auch in diesem Fall zurück zu WPA2 wechseln. Damit sollten die Verbindungsprobleme behoben sein.
Fritzbox und Repeater müssen WPA3 unterstützen, sonst drohen Funkprobleme.
Bild: CHIP
WPA-Verschlüsselung herausfinden
Welche Clients mit welcher Verschlüsselung an die Fritzbox angebunden sind, können Sie unter "WLAN" herausfinden. Klicken Sie auf "Funknetz", dann listet die Fritzbox die verbundenen Geräte auf. Bei jedem Gerät steht in der Spalte "Eigenschaften" die Art der Verschlüsselung.