Suchen

Definition Wi-Fi Protected Access (WPA) Was ist WPA?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

WPA steht für Wi-Fi Protected Access und bezeichnet den 2003 verabschiedeten Nachfolgestandard von WEP zur Verschlüsselung und Authentifizierung im WLAN. WPA sollte die bekannt gewordenen Sicherheitslücken und Schwachstellen von WEP beseitigen und wieder für Sicherheit in Funknetzwerken sorgen. Wie WEP gilt auch WPA heute als nicht mehr ausreichend sicher und sollte für drahtlose Netzwerke nicht mehr verwendet werden.

Firmen zum Thema

Wi-Fi Protected Access (WPA) ist der erste Nachfolgestandard von WEP zur Verschlüsselung und Authentifizierung im WLAN. Es folgten WPA2 und seit 2018 auch WPA3.
Wi-Fi Protected Access (WPA) ist der erste Nachfolgestandard von WEP zur Verschlüsselung und Authentifizierung im WLAN. Es folgten WPA2 und seit 2018 auch WPA3.
(Bild: Pixabay / CC0 )

Wi-Fi Protected Access wurde 2003 noch vor der Verabschiedung des offiziellen Standards IEEE 802.11i von der Wi-Fi Alliance veröffentlicht. WPA sollte die bekannt gewordenen Sicherheitslücken und Schwachstellen von WEP beseitigen und wieder für Sicherheit in Funknetzwerken sorgen. Da WEP als geknackt galt, musste schnell eine sichere Alternative geschaffen werden. Die Fertigstellung des IEEE-Standards 802.11i konnte nicht abgewartet werden. WPA stellt eine Art Übergangslösung dar und beinhaltet Teile von 802.11i.

Da Wi-Fi Protected Access mit der XOR-Verknüpfung und dem RC4-Datenstrom auf gleicher technischer Grundlage wie WEP basiert, sind WEP-Geräte in der Regel ohne Hardwareupgrade auf WPA aktualisierbar. WPA gilt heute wie WEP als nicht mehr ausreichend sicher und sollte für drahtlose Netzwerke nicht mehr verwendet werden. Nachfolgestandards von Wi-Fi Protected Access sind WPA2 und WPA3.

Die Funktionsweise von WPA

Ein wesentlicher Unterschied zu WEP ist die Verwendung von TKIP (Temporal Key Integrity Protocol) zur Verschlüsselung. TKIP basiert auf dem RC4-Algorithmus, setzt aber eine verbesserte Schlüsselberechnung mit neuen Schlüsseln für jedes Datenpaket ein. Der Initialisierungsvektor ist jetzt nicht mehr nur 24 Bit, sondern 48 Bit lang. Zudem kommen Methoden wie Per-Packet-Key-Mixing, Re-Keying und Message Integrity Check (MIC) zum Einsatz.

Die wesentlichen Merkmale von Wi-Fi Protected Access sind:

  • konzeptionelle Trennung von Verschlüsselung, Authentifizierung und Integritätssicherung
  • Verwendung verschiedener, dynamisch neu erstellter Schlüssel auf Basis des Master-Schlüssels
  • längerer Initialisierungsvektor

Mit WPA ist die Authentifizierung sowohl per Pre-shared Key (PSK) als auch per Extensible Authentication Protocol (EAP) über einen zentralen Authentifizierungsserver wie einen Radius-Server möglich. EAP kommt hauptsächlich in großen professionellen WLAN-Installationen zum Einsatz. Private WLANs oder kleinere drahtlose Netzwerke nutzen in der Regel einen allen Teilnehmern bekannt zu machenden Pre-shared Key.

Die Schwachstellen von WPA

Auch WPA besitzt zahlreiche konzeptionelle Schwächen und gilt heute als nicht mehr sicher. So ist das von TKIP weiter verwendete RC4 prinzipiell gegen Known-Plaintext-Angriffe anfällig. Die Sicherheit in einem WPA-geschützten WLAN ist wesentlich von der Qualität des gewählten Passworts (Pre-shared Keys) abhängig. Um diese Schwachstelle auszunutzen, muss ein Angreifer lediglich einen Anmeldevorgang aufzeichnen. Anschließend können per Brute-Force-Methode oder Wörterbuchangriff so lange Pre-shared Keys probiert werden, bis einer der generierten Schlüssel der richtige ist. Es existieren zahlreiche Programme und Tools, die diese Angriffsmethode automatisieren und den Einbruch in ein WPA-WLAN binnen kurzer Zeit ermöglichen. Dank leistungsfähiger CPUs und GPUs lassen sich Brute-Force-Angriffe massiv beschleunigen.

Eine weitere Schwachstelle ist die gemeinsame Verwendung von WPA und WPS (Wi-Fi Protected Setup). WPS vereinfacht die Einrichtung eines WLANs, indem es den erstmaligen Anmeldevorgang eines WLAN-Clients erleichtert. Wi-Fi Protected Setup ist noch anfälliger gegen Brute-Force-Attacken. Es wird daher empfohlen, WPS an Accesspoints und WLAN-Routern zu deaktivieren.

Aufgrund dieser Schwachstellen ist bei Neuinstallationen auf WPA zu verzichten und WPA2 zu verwenden. Ist dies nicht umsetzbar, sollte für den Pre-shared Key ein möglichst langes, sicheres Passwort bestehend aus einer zufälligen Zeichenfolge gewählt werden.

Im Juni 2018 hat die Wi-Fi-Alliance den neuen Standard WPA3 verabschiedet, der WPA2 ersetzen soll.

(ID:45448411)

Über den Autor