WPA3（Wi-Fi Protect Access 3）協議是由Wi-Fi聯盟在今年早些時候提出的下一代WiFi認證協議，相比已經陪我們走過了14年的WPA2協議，WPA3的不同之處在於其安全方面的升級。Wi-Fi聯盟在近日宣佈WPA3協議已經完成，支援WPA3協議的新裝置已經在認證中，也許很快就能在市面上見到支援WPA3的路由器和相關產品。

WPA3，圖片來自：TheHackerNews

WPA3協議有4個主要的功能升級，其中2個面對個人消費者，1個面向公用/開放WiFi，1個針對企業/政府重要WiFi：

防暴力破解

WPA3針對離線字典進行了升級，同時對猜測密碼的暴力破解提供更強的保護——即使WiFi密碼不符合典型複雜性建議標準。

WPA3正向保密

透過使用SAE（同步身份驗證/Equilibrium of Equals Authentication of Equals）的握手驗證方式提供正向保密，可以防止解密者捕捉舊的網路流量——即使他們知道網路密碼。

公用/開放網路保護

WPA3在公用/開放式網路的條件下會使用個性化資料加密，這個功能可以加密網路裝置與WiFi接入點之間產生的無線流量，加強接入WiFi使用者的個人隱私，降低中間人（MitM）攻擊的風險。

關鍵網路的強加密

使用WPA3-Enterprise，對處理重要/敏感資訊的WiFi網路可以使用AES 192bit級別的加密。

圖片來自：Neowin

Easy Connect

Wi-Fi聯盟還推出了Easy Connect技術，可以視為WPS的替代品，因為WPS已被認為是不安全的。此項新技術可讓使用者使用手機等已經連線了WiFi的裝置，透過掃描QR碼等方式將新的物聯網裝置連線至WiFi——尤其是那些沒有顯示屏或顯示屏很小的智慧裝置。

那麼新生的WPA3會立馬替代WPA2嗎？顯然不會，這是一個漫長的過程，支援WPA3的新裝置也可以與使用WPA2的裝置連線；隨著使用率的上升，支援WPA3與否最終會成為強制Wi-Fi認證標準，當然，這是2019年之後的事情了。

隨著移動裝置成為網際網路登陸裝置的主要來源，在4G網路之外，WiFi無疑也早已成為眾多使用者上網的重要途徑。除此之外，無論是哪一家的IoT解決方案，也同樣都需要將智慧家居裝置置於統一的網路之下才能成型，因此在這其中，WiFi路由器也承擔著無可替代的作用。

WAP3加密協議，這是神馬玩意

不過，這樣一個與我們日常生活息息相關的裝置，卻面臨著極高的風險。目前在全球範圍內，家庭、企業、公共廠商的路由器都正在使用的安全協議——WPA2已經從2004年開始服役了14年之久，儘管這些年裡透過AES加密演算法等升級讓其延續了生機，但到今天為止，可以說WAP2協議早已垂垂老矣。

今天，Wi-Fi聯盟正式推出了WAP2的後繼者WPA3，並正式開啟認證工作。這也意味著WPA3登上歷史舞臺，開啟了接替WPA2成為主流加密方案的新篇章，不過想要WPA3協議生效，那麼必須從發射端到終端都支援才有用，所以對於使用者來說，等待兩方廠商進行適配或將會是一個緩慢的過程。

據悉，全新的WAP3協議在四個不同維度對於WiFi安全進行了升級。其中包括，加密等級升級到了196位AES高階加密標準、字典攻擊不再可用、改善物聯網裝置的安全性、個性化資料加密等方面。

WPA3的神奇之處在哪裡

在談WPA3協議會帶給我們什麼樣的變化之前，先來看看如今WPA2時代發生過的幾件故事吧。去年10月，有研究人員發現可以透過KRACK金鑰重安裝攻擊WPA2協議的底層漏洞，包括Android、iOS、MacOS、Windows、OpenBSD系統，以及大部分IoT裝置都受到了影響。

這是啥意思呢?由於“KRACK”是利用WPA2協議的底層漏洞，透過更換WiFi密碼是解決不了問題的，因此使用者只能被動等待廠商(傳送端和終端)更新韌體。而在此期間，攻擊者可以攔截WiFi網路中的資料包，並在資料流中插入惡意內容。

但是好訊息是，使用Dragonfly協議的WPA3之後，KRACK攻擊的威脅就將不再存在。而且，在全新的WPA3協議的框架下，多次嘗試破解的行為將被直接鎖號，簡而言之就是駭客現在已經不能透過“字典攻擊”來嘗試出你的WiFi密碼了。

當然，相比於看起來很嚴重但實施成本很高的的KRACK，接下來兩種不法分子利用的方法卻是與大多數人的日常生活息息相關。首先就是隨著比特幣大火而隨之被炒熱的挖礦，去年年末，有消費者在星巴克喝咖啡的時候發現，公共Wi-Fi中暗藏了挖礦頁面的導流程式碼，在不知情的情況下會使用連上WiFi裝置的GPU\CPU進行“挖礦作業”，直接導致裝置突然變得很慢。

此外，隨著智慧手機成為上網的主要方式之一，許多前往餐廳和商場等商業場所的小夥伴，非常關心的一個問題就是有沒有免費的WiFi提供，因此，WiFi服務也是許多商家吸引消費者的重要砝碼。

不法商家之所以可以隨意操縱WiFi網路，很大一部分原因要歸結於這目前使用WAP2協議的開放式WiFi中，發射端和終端之間的通訊資料是未加密的，攻擊者可以監聽並嗅探明文的802.11資料幀。

未來透過WAP3的個性化資料加密功能，消費者在使用隨機無線加密所提供的WiFi時，系統就能夠給不同的裝置分配不同的加密金鑰，因此可以有效降低攻擊者透過抓包、分析、提取密碼的風險，而這則是WPA2協議所不具備的優勢。

WAP3很好，不過想體驗卻不容易

那麼你可能會問了，這種能夠讓我安全放心的使用WiFi的新協議什麼時候能夠體驗到呢？WiFi聯盟給出了自己的預測，其預計支援WPA3協議的終端會在明年大量出現，但是真正完成全面普及則可能需要再等上數年。

至於說另一個更切身的利益相關問題，WPA3協議推出之後自家目前的路由器是不是就要作廢了呢？答案當然是否定的，與市面上大多數安全協議一樣，WPA3協議是可以向下相容的，而且除非是老舊到需要進行硬體升級的裝置之外，廠商完全可以透過韌體升級來完成加密協議的更新。

總的來說，WPA3加密協議的推出肯定會讓WiFi網路更加安全，但是由於目前WiFi聯盟暫時沒有對其進行強制性認證，所以想要體驗只能看廠商們的“節操”了。

需要注意的是，由於WPA3加密協議的全面普及和下一代WiFi技術標準——802.11ax，在時間節點上高度重合，因此很有可能會促使廠商對於新產品進行更新換代。因此對於不是非常迫切的需要更換路由器的朋友，不妨再讓自家的老裝置繼續老驥伏櫪一下，等等明年新裝置的上市再說。