Che cos’è WPA3?
WPA3 (Wi-Fi Protected Access 3) è il più recente standard di sicurezza wireless pubblicato dalla Wi-Fi Alliance nel 2018. Risolve le vulnerabilità note di WPA2 — lo standard precedente in uso dal 2004 — introducendo una crittografia più robusta, un handshake di autenticazione più sicuro e protezioni per le reti pubbliche aperte. La maggior parte dei router Wi-Fi di ultima generazione e dei dispositivi Wi-Fi 6/6E/7 supporta WPA3, rendendolo il nuovo standard di riferimento per la sicurezza delle reti wireless domestiche e aziendali. WPA2 ha offerto un servizio affidabile per anni, ma la crescente sofisticazione degli attacchi wireless significa che passare all’hardware compatibile WPA3 è uno dei miglioramenti di sicurezza più efficaci che si possano apportare alla propria rete.
Approfondimento
Principali miglioramenti rispetto a WPA2
| Funzione | WPA2 | WPA3 |
|---|---|---|
| Scambio di chiavi | PSK (handshake a 4 vie) | SAE (Simultaneous Authentication of Equals) |
| Attacco dizionario offline | Vulnerabile | Resistente |
| Forward secrecy | Assente | Sì (chiave univoca per sessione) |
| Protezione Wi-Fi pubblico | Assente | OWE (reti aperte cifrate) |
| Crittografia enterprise | 128 bit | 192 bit (opzionale) |
SAE: il miglioramento fondamentale
SAE (Simultaneous Authentication of Equals) è il progresso più significativo di WPA3. Con WPA2, un attaccante poteva catturare l’handshake a quattro vie ed eseguire offline un attacco a dizionario con tutta calma. SAE usa un protocollo zero-knowledge proof che non trasmette mai la password sulla rete, rendendo impraticabili gli attacchi a dizionario offline. Inoltre, la “forward secrecy” garantisce che, anche se la password venisse compromessa in seguito, il traffico precedentemente catturato non possa essere decifrato poiché ogni sessione usava una chiave univoca.
WPA3 Personal vs. Enterprise
WPA3 Personal è la variante per uso domestico e piccole imprese, protetta da una password e rafforzata da SAE. WPA3 Enterprise è destinato alle organizzazioni che usano l’autenticazione individuale basata su server RADIUS, con una modalità opzionale di crittografia a 192 bit per gli ambienti che gestiscono dati sensibili. Una terza modalità, OWE (Opportunistic Wireless Encryption), porta la crittografia automatica agli hotspot Wi-Fi aperti, offrendo protezione di base agli utenti nei bar senza necessità di una password.
Come scegliere
1. Acquista un router o access point compatibile con WPA3
Quando si acquista un nuovo router Wi-Fi o un sistema mesh Wi-Fi, il supporto WPA3 dovrebbe essere un requisito base. La maggior parte dei modelli di fascia media e premium dei principali produttori lo include, ma i modelli economici potrebbero ancora ometterlo, quindi è importante verificare le specifiche.
2. Usa la modalità di transizione per la compatibilità con i dispositivi più vecchi
Se si hanno dispositivi più vecchi che supportano solo WPA2, abilitare la “Modalità di transizione WPA2/WPA3” sul router. Questo permette ai dispositivi legacy di connettersi tramite WPA2 mentre i dispositivi più nuovi beneficiano della protezione WPA3. Nel tempo, man mano che i dispositivi più vecchi vengono sostituiti, si può passare alla modalità solo WPA3 per la massima sicurezza.
3. Verifica il supporto sui dispositivi client
WPA3 richiede supporto su entrambi i lati. Windows 10 e successivi, iOS 13 e successivi e Android 10 e successivi includono tutti il supporto WPA3. Se tutti i tuoi dispositivi soddisfano questi requisiti, puoi bloccare la rete a WPA3 in modo sicuro e beneficiare della protezione più robusta disponibile.
La valutazione finale
WPA3 rappresenta un salto significativo nella sicurezza delle reti wireless, chiudendo vulnerabilità che WPA2 ha lasciato aperte per anni. Quando si acquista un nuovo router o access point, trattare il supporto WPA3 come requisito non negoziabile. Usa la modalità di transizione per gestire gli eventuali dispositivi WPA2 restanti, e pianifica di eliminarli gradualmente per poter usare WPA3 in modo esclusivo. È uno degli aggiornamenti più semplici ed efficaci che si possano apportare alla rete domestica o aziendale.