Wat is WPA?
Een nadeel van draadloze netwerken is dat alle informatie die wordt verzonden en ontvangen in principe door iedereen kan worden opgevangen. In de begindagen van wifi werd daarom al direct de encryptiemethode WEP geïntroduceerd om de gegevens tussen de zender en ontvanger te versleutelen. Men ontdekte echter al snel dat WEP niet erg veilig was, en de introductie van WPA en WPA2 liet daarom niet lang op zich wachten. De laatstgenoemde, WPA2, is op dit moment nog steeds de standaard wat betreft de beveiliging van draadloze netwerken.
De weg naar WPA2
Zoals in de inleiding al is vermeld, was de eerste encryptiemethode die werd gebruikt voor het versleutelen van draadloze gegevens WEP (Wired Equivalent Privacy). De beveiligingsstandaard werd tegelijk met de 802.11-standaard geïntroduceerd, maar helaas ontdekte men al na enkele jaren dat de eerste bytes die versleuteld worden met WEP niet willekeurig genoeg zijn. Hierdoor is het vrij eenvoudig om de encryptiesleutel te achterhalen en aangezien deze encryptiesleutel wordt gebruikt voor het versleutelen van alle gegevenspakketjes was het einde van deze beveiligingsmethode daarmee een feit.
Een opvolger stond echter nog niet klaar en daarom werd in 2003 als tussenoplossing de encryptiemethode WPA (Wi-Fi Protected Access) met het protocol TKIP (Temporal Key Integrity Protocol) geïntroduceerd. Doordat TKIP grotendeels was gebaseerd op WEP, was het nog steeds geen ideale oplossing, maar de grootste problemen waren aangepakt. Het ontdekken van de sleutel werd bemoeilijkt en daarnaast werden alle afzonderlijke pakketjes nu met een andere encryptiesleutel versleuteld. Een echte standaard zou WPA nooit worden, het was slechts een tussenoplossing die iets veiliger was en gebruikt kon worden op de oude hardware.
Uiteindelijk werd WPA2 ongeveer een jaar later, in 2004, geïntroduceerd en met deze encryptiemethode werd er definitief van WEP en het daarop gebaseerde TKIP afgestapt*. In plaats daarvan wordt het op AES (Advanced Encryption Standard) gebaseerde CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) gebruikt en dat heeft geleid tot een nieuwe encryptiestandaard die tot op heden te boek staat als een zeer veilige standaard die eigenlijk alleen met brute-force, een aanvalsmethode die zeer tijdrovend is, kan worden gebroken.
* Hoewel er in die tijd vanwege compatibiliteitsredenen vaak nog wel gebruik kon worden gemaakt van WPA2-TKIP, werd dit sterk afgeraden. Apparaten die tegenwoordig met Wi-Fi-certificatie worden gekocht beschikken niet meer over WEP- of TKIP- functionaliteit.
WPA2: Personal of Enterprise
WPA2 is er in 2 varianten, de eerste variant is WPA2-PSK of WPA2 Personal. Bij deze variant wordt er een wachtwoord gebruikt voor de netwerkauthenticatie. Sterke wachtwoorden zijn vrijwel niet te achterhalen voor onbevoegden en elke gebruiker die het wachtwoord kent, kan het wachtwoord gebruiken om op het netwerk in te loggen. Dit is de vorm van WPA2 die vrijwel iedereen thuis gebruikt en het is op dit moment de beste vorm van beveiliging voor thuisnetwerken.
De tweede variant is geschikt voor bedrijven en heeft de naam WPA2-EAP of WPA2 Enterprise. Bij deze variant van WPA2 wordt er gebruik gemaakt van een zogenaamde RADIUS-server die onder andere bijhoudt welke gebruikers toegang hebben tot het netwerk en hoe deze gebruikers zich moeten authentiseren. In praktijk worden meestal nog altijd wachtwoorden gebruikt, maar dankzij het gebruik van de RADIUS-server kan elke gebruiker een apart wachtwoord toegewezen krijgen. Door het gebruik van de server kunnen wachtwoorden bovendien indien nodig (bijv. bij ontslag of het verlies van een apparaat) direct worden ingetrokken.