De nieuwe standaard, Wi-Fi Protected Access (wpa), is bedoeld om Wired Equivalent Privacy (wep) te vervangen. Wep is nu nog de meest gebruikte manier om gegevens in een draadloos netwerk te beveiligen.

Volgens onderzoeker Robert Moskowitz van TruSecure is die nieuwe standaard in bepaalde situaties echter geen verbetering. Zo zouden hackers evengoed nog in staat zijn om gegevens uit de lucht te 'onderscheppen'.

Volgens Moskowitz zit het probleem in het gebruik van de zogenoemde 'pre-shared keys' (psk's). Dit is een alternatieve tool voor de identificatie van gebruikers.

Psk's worden vooral gebruikt door kleine bedrijven en thuisgebruikers die geen aparte identificatieserver en volledige 802.1x sleutelinfrastructuur willen gebruiken, aldus Moskowitz.

Sniffen

Volgens de beveiligingsexpert, die onder meer aan de wieg van wpa stond, staat veel netwerkapparatuur slechts één psk op een draadloos netwerk toe.

Dit is volgens Moskowitz potentieel gevaarlijk omdat hackers hierdoor minder moeite hebben de geheime sleutel te 'raden'. Kwaadwillenden zouden het dataverkeer tussen een access point en draadloos werkstation kunnen onderscheppen.

Met speciale software zou vervolgens de versleutelcode kunnen worden achterhaald via een zogenoemde 'dictionary attack'. Hierbij probeert de software met willekeurige woorden uit het woordenboek een systeem binnen te komen.

Ook andere draadloze standaarden kampen met dit probleem. Van wep-sleutels is bijvoorbeeld al langer bekend dat deze niet veilig zijn. Recent werd ontdekt dat ook Cisco's leap-standaard (lightweight extensible authentication protocol) op die manier kan worden gekraakt.

Moskowitz raadt gebruikers van draadloze netwerken met wpa-beveiliging dan ook aan om gebruik te maken van lange versleutelcodes.