WPA (bahasa Inggris: Wi-Fi Protected Access) adalah suatu sistem yang juga dapat diterapkan untuk mengamankan jaringan nirkabel. Metode pengamanan dengan WPA ini diciptakan untuk melengkapi dari sistem yang sebelumnya, yaitu WEP[1].
Para peneliti menemukan banyak celah dan kelemahan pada infrastruktur nirkabel yang menggunakan metode pengamanan WEP. Sebagai pengganti dari sistem WEP, WPA mengimplementasikan layer dari IEEE, yaitu layer 802.11i. Nantinya WPA akan lebih banyak digunakan pada implementasi keamanan jaringan nirkabel. WPA didesain dan digunakan dengan alat tambahan lainnya, yaitu sebuah komputer pribadi (PC).
Fungsi dari komputer pribadi ini kemudian dikenal dengan istilah authentication server, yang memberikan key yang berbeda kepada masing–masing pengguna/client dari suatu jaringan nirkabel yang menggunakan akses point sebagai media sentral komunikasi. Seperti dengan jaringan WEP, metode enkripsi dari WPA ini juga menggunakan algoritme RC4.
Sejak tahun 2023, banyak komputer yang terhubung melalui jaringan nirkabel mempunyai dukungan untuk menggunakan WPA, WPA2, atau WPA3
Terminologi WPA
Pengamanan jaringan nirkabel dengan metode WPA ini, dapat ditandai dengan minimal ada tiga pilihan yang harus diisi administrator jaringan agar jaringan dapat beroperasi pada mode WPA ini. Ketiga menu yang harus diisi tersebut adalah:
Komputer server yang dituju oleh akses point yang akan memberi otentikasi kepada client. Beberapa perangkat lunak yang biasa digunakan antara lain free RADIUS (Remote Authentication Dial in User Protocol), openRADIUS dan lain-lain.
Shared Secret adalah kunci yang akan dibagikan ke komputer dan juga kepada client secara transparant.
Setelah komputer diinstall perangkat lunak otentikasi seperti freeRADIUS, maka sertifikat yang dari server akan dibagikan kepada client.
Untuk menggunakan Radius server bisa juga dengan tanpa menginstall perangkat lunak di sisi komputer client. Cara yang digunakan adalah Web Authentication dimana User akan diarahkan ke halaman Login terlebih dahulu sebelum bisa menggunakan Jaringan Wireless. Dan Server yang menangani autentikasi adalah Radius server.
Dukungan perangkat
WPA telah dirancang khusus untuk bekerja dengan perangkat keras nirkabel yang diproduksi sebelum pengenalan protokol WPA,[2] yang memberikan keamanan yang tidak memadai melalui WEP. Beberapa dari perangkat ini hanya mendukung WPA setelah menerapkan pemutakhiran firmware, yang tidak tersedia untuk beberapa perangkat lawas.[2]
Perangkat Wi-Fi bersertifikat sejak 2006 mendukung protokol keamanan WPA dan WPA2. WPA3 diperlukan sejak 1 Juli, 2020.[3]
Klien dan peladen 802.1X yang dikembangkan oleh perusahaan tertentu dapat mendukung jenis EAP lainnya. Sertifikasi ini adalah usaha untuk tipe EAP saling berperasi; kegagalan mereka untuk melakukannya hingga 2013 adalah salah satu masalah utama yang mencegah peluncuran 802.1X pada jaringan heterogen.
Kunci WPA dan WPA2 yang dibagikan sebelumnya tetap rentan terhadap serangan peretasan kata sandi jika pengguna mengandalkan kata sandi atau frasa sandi yang lemah. Hash frasa sandi WPA seeded dari nama SSID dan panjangnya; tabel pelangi ada untuk 1.000 SSID jaringan teratas dan banyak kata sandi umum, hanya membutuhkan pencarian cepat untuk mempercepat pemecahan WPA-PSK.[8]
Penyerangan brutal dari kata sandi dapat dilakukan dengan menggunakan Aircrack Suite mulai dari jabat tangan otentikasi empat arah yang dipertukarkan selama asosiasi atau otentikasi ulang berkala.[9][10][11][12][13]
WPA3 menggantikan protokol kriptografi yang rentan terhadap analisis off-line dengan protokol yang memerlukan interaksi dengan infrastruktur untuk setiap kata sandi yang ditebak, seharusnya menempatkan batas waktu pada jumlah tebakan.[14] Namun, cacat desain di WPA3 memungkinkan penyerang meluncurkan serangan brutal secara masuk akal (lihat serangan Dragonblood).
Hole196
Hole196 adalah sebuah kerentanan dalam protokol WPA2 protocol yang menyalahgunakan Group Temporal Key (GTK) yang dibagikan. Ini dapat digunakan untuk melakukan serangan man-in-the-middle dan denial-of-service. Namun, diasumsikan bahwa penyerang sudah diautentikasi terhadap Akses Poin dan dengan demikian memiliki GTK.[15][16]
Serangan Dragonblood
Pada April 2019, cacat desain serius di WPA3 ditemukan yang memungkinkan penyerang melakukan serangan downgrade dan serangan saluran samping, mengaktifkan serangan brutal kata sandi, serta meluncurkan serangan denial-of-service pada stasiun pusat Wi-Fi.[17]
Pada Desember 2020, sebuah makalah berjudul Dragonblood is Still Leaking: Practical Cache-based Side-Channel in the Wild diterbitkan, menunjukan bahwa sementara beberapa implementasi sudah ditambal, kerentanan utama (fungsi hash-to-group) tidak ada, karena kebutuhan akan kompatibilitas mundur.[18]
Pemulihan PIN WPS
Sebuah cacat keamanan yang lebih serius terungkap pada Desember 2011 oleh Stefan Viehböck yang memengaruhi router nirkabel dengan fitur Wi-Fi Protected Setup (WPS), terlepas dari metode enkripsi mana yang mereka gunakan. Model terbaru memiliki fitur ini dan mengaktifkannya secara default. Kebanyakan manufaktur perangkat Wi-Fi konsumen telah mengambil langkah untuk menghilangkan potensi pilihan frasa sandi yang lemah dengan mempromosikan metode alternatif untuk menghasilkan secara otomatis dan mendistribusikan kunci yang kuat saat pengguna menambahkan sebuah menambahkan adaptor atau alat nirkabel baru ke sebuah jaringan. Metode ini termasuk menekan tombol pada perangkat atau memasukkan PIN 8 digit.
WPA3 memperkenalkan sebuah alternatif baru untuk konfigurasi dari perangkat yang tidak memiliki kemampuan antarmuka pengguna yang memadai dengan mengizinkan perangkat terdekat untuk berfungsi sebagai UI yang memadai untuk tujuan penyediaan jaringan, sehingga mengurangi kebutuhan WPS.[19]
Pada Oktober 2017, detail dari serangan KRACK (Key Reinstallation Attack) pada WPA2 telah diterbitkan.[20][21] Serangan KRACK dipercaya untuk mempengaruhi semua varian WPA dan WPA2; namun, implikasi keamanan bervariasi di antara implementasi, tergantung pada bagaimana masing-masing pengembang menginterpretasikan bagian standar yang ditentukan dengan buruk. Tambalan perangkat lunak dapat menyelesaikan kerentanannya tetapi tidak tersedia untuk semua perangkat.[22]
^ ab"Wi-Fi Protected Access White Paper". Wi-Fi Alliance. Diarsipkan dari versi asli tanggal 2008-09-14. Diakses tanggal 2008-08-15. WPA is both forward and backward-compatible and is designed to run on existing Wi-Fi devices as a software download.Parameter |url-status= yang tidak diketahui akan diabaikan (bantuan)
^Kesalahan pengutipan: Tag <ref> tidak sah;
tidak ditemukan teks untuk ref bernama :0
^"Exposing WPA2 security protocol vulnerabilities". Inderscience.metapress.com. International Journal of Information and Computer Security. 2014-03-13. Diarsipkan dari versi asli tanggal 2014-03-22. Diakses tanggal 2014-04-30.Parameter |url-status= yang tidak diketahui akan diabaikan (bantuan)