WPA3: Il Nuovo Standard di Sicurezza Wi-Fi Spiegato

WPA3 è lo standard di autenticazione e cifratura Wi-Fi introdotto dalla Wi-Fi Alliance nel 2018 per rimpiazzare WPA2, che mostrava vulnerabilità note da anni. Da quando i principali produttori di router e dispositivi lo hanno adottato, è diventato il riferimento per chiunque voglia una rete wireless effettivamente sicura.

Perché WPA2 non è più sufficiente

WPA2 con CCMP/AES è ancora robusto se la password è lunga e casuale. Il problema reale è il protocollo di handshake 4-way handshake: catturando l'handshake durante l'associazione di un client, un attaccante può tentare un attacco offline dictionary/brute-force senza più interagire con la rete. Con GPU moderne, password deboli vengono crackate in minuti.

Altre criticità note di WPA2:

• KRACK (2017): attacco alla reinstallazione delle chiavi nel 4-way handshake, che permetteva in certi scenari di decifrare traffico
• Reti aperte: nessuna cifratura, traffico leggibile da chiunque con un sniffer
• PMKID attack: permette brute-force offline senza catturare l'handshake completo

Le novità di WPA3

SAE al posto di PSK

WPA3-Personal usa SAE (Simultaneous Authentication of Equals), noto anche come Dragonfly. Invece del classico PSK, SAE esegue uno scambio crittografico interattivo che garantisce:

• Perfect Forward Secrecy: le sessioni passate rimangono cifrate anche se la password viene compromessa in futuro
• Resistenza al brute-force offline: ogni tentativo richiede interazione attiva con l'access point, rendendo gli attacchi dictionary impraticabili su larga scala

OWE per reti aperte

WPA3 introduce OWE (Opportunistic Wireless Encryption) per le reti senza password (hotel, bar, aeroporti). OWE cifra il traffico tra client e AP anche senza autenticazione, eliminando il rischio di intercettazione passiva su reti pubbliche.

WPA3-Enterprise

Per reti aziendali, WPA3-Enterprise alza il livello minimo a CNSA Suite (curva ellittica P-384, SHA-384, DHE a 3072 bit), rispetto ai 128 bit di WPA2-Enterprise. Modalità opzionale per ambienti ad alta sicurezza.

PMF obbligatorio

La Protected Management Frames (802.11w), opzionale in WPA2, diventa obbligatoria con WPA3. Protegge i frame di gestione (deauth, disassoc) da attacchi di de-autenticazione forzata che servono spesso come primo step degli attacchi MITM.

WPA3 vs WPA2: confronto rapido

Come abilitare WPA3 sul router

La maggior parte dei router moderni supporta una modalità WPA2/WPA3 mista (transition mode), che permette ai device WPA3 di usare il protocollo aggiornato mentre i device più vecchi continuano a connettersi con WPA2.

Su MikroTik (RouterOS 7.x):

/interface/wifiwave2/set [find] security.authentication-types=WPA2-PSK,WPA3-PSK

Su router consumer con firmware standard (es. Asus, TP-Link), trovi l'opzione nella sezione Wireless → Security → WPA3-Personal o WPA2/WPA3 Mixed.

Verifica che i tuoi dispositivi supportino WPA3:

• Windows 10/11: supportato dal 2019 con driver aggiornati
• Android 10+: supportato nativamente
• iOS 13+: supportato nativamente
• Device IoT datati: spesso solo WPA2, usa la transition mode

Limitazioni da conoscere

• Dragonfly ha avuto alcune vulnerabilità implementative (Dragonblood, 2019), corrette nei firmware successivi. Tieni sempre aggiornato il router.
• La transition mode WPA2/WPA3 riduce leggermente il livello di sicurezza rispetto a WPA3-only, ma è necessaria per compatibilità
• Alcuni device enterprise richiedono configurazioni aggiuntive per SAE

Raccomandazione pratica

Se il tuo router supporta WPA3, attiva la modalità mista WPA2/WPA3 subito. Non c'è motivo di restare su WPA2-only salvo vincoli di compatibilità con hardware molto vecchio. Per reti domestiche o di piccola impresa, SAE con una password ragionevole (20+ caratteri casuali) offre una protezione concretamente difficile da attaccare anche con hardware dedicato.