WPA3 annunciato. Davvero necessario?

In base a The Hacker News , ecco i principali miglioramenti:

• WPA3 protocol strengthens user privacy in open networks through individualised data encryption.
• WPA3 protocol will also protect against brute-force dictionary attacks, preventing hackers from making multiple login attempts by
  using commonly used passwords.
• WPA3 protocol also offers simplified security for devices that often have no display for configuring security settings, i.e. IoT devices.
• Finally, there will be a 192-bit security suite for protecting WiFi users’ networks with higher security requirements, such as
  government, defence and industrial organisations.

Quindi penso che abbia alcuni miglioramenti di sicurezza rispetto a WPA2

Anybody knows exactly what is new? features, security improvements, etc...

Da quello che sono stato in grado di raccogliere fino ad ora, sembra che ci siano un paio di nuove funzionalità richieste e un paio di funzioni opzionali.

• Opportunistic Wireless Encryption (OWE) - richiesto. Basato su RFC 8110 , questo ha lo scopo di spostare definitivamente le reti wireless aperte. Ciò aggiunge una semplice crittografia ai client senza la necessità di configurare un PSK. Tuttavia, la mancanza di un PSK sembra lasciare questo vulnerabile agli attacchi MitM. Meglio della trasmissione in chiaro, ma non di molto.
• Autenticazione simultanea di equità (SAE) - richiesta. Una modifica all'handshake per prevenire gli attacchi in stile dizionario su PSK.
• Crittografia AES 192-bit - opzionale. Una spinta dalla forza crittografica utilizzata oggi in wireless (crittografia a 128 bit).
• Device Provisioning Protocol (DPP) - opzionale. Un modo per aggiungere facilmente dispositivi a una rete sicura. Sembra essere una sostituzione del WPS, che è stato interrotto per un po '.

Finora, nulla ha cambiato drasticamente il volto della sicurezza wireless, piuttosto più miglioramenti rispetto a un nuovo protocollo. Tuttavia è una nuova certificazione della WFA che i dispositivi dovranno soddisfare se desiderano utilizzare WPA3 nella loro documentazione / marketing.

Is it because of Krack attack? I thought patching WPA2 is enough.

Direttamente no. Indirettamente, direi di si. Considera che WPA2 (802.11i) ha quasi dieci anni e mezzo. Mentre (aggiornato) rimane sicuro oggi, questo è molto tempo per un protocollo di sicurezza e KRACK ha indotto molte persone a riconsiderare il ruolo della sicurezza wireless.

WiFi Alliance sta semplicemente rafforzando la sicurezza attualmente esistente.

Prenderò un momento per notare che, diversamente dalle versioni precedenti di WPA, WPA3 non è basato su un ammendamento IEEE su 802.11 (WPA basato su bozza 802.11i, WPA2 basato su 802.11i). Non dubito che ci sia una discussione di un nuovo gruppo di lavoro IEEE per esaminare l'aggiornamento della sicurezza wireless, ma al momento non sono a conoscenza di alcun formato.

Is WPA3 really needed because of its security improvements? or is just a "not mandatory" upgrade?

Non obbligatorio. Tuttavia, WPA3 aiuta a rafforzare la sicurezza wireless.

Ricorda che WPA3 non sembra essere una sostituzione di WPA2, ma solo funzionalità aggiuntive che la WFA richiederà per ottenere le loro certificazioni.