Tutti i router che si acquistano presentano un piccolo pulsante con la sigla WPS sul retro oppure su un lato.
Acronimo di Wi-Fi Protected Setup, il pulsante WPS consente di trasferire i dati per l’accesso alla rete WiFi dispositivi che ne fanno esplicita richiesta.
La password con cui si protegge l’accesso a una rete WiFi dovrebbe essere lunga e complessa; inoltre, si dovrebbero oggi utilizzare esclusivamente i protocolli WPA2 e WPA3 per proteggere le reti wireless: WPA3, cos’è e come funziona: più sicurezza per le reti WiFi.
A meno che non si utilizzi un meccanismo di autenticazione basato su server RADIUS (Come proteggere l’accesso alla rete WiFi con un server RADIUS; l’accesso alla WiFi è consentito solo ai possessori di un account memorizzato e gestito lato server), quando si usano algoritmi basati su pre-shared key ovvero su password di protezione uguali per tutti gli utenti che accedono alla WiFi, ci si dovrebbe sempre orientare su WPA2 e WPA3.
Con la funzionalità WPS attiva sul router se si preme l’analogo pulsante WPS sul dispositivo client (ove presente) oppure si accede via software alla schermata per la connessione a una rete WiFi e si seleziona Connetti via WPS (push button) o similare, il client riceverà automaticamente i dati per stabilire il collegamento (password compresa).
Il pulsante WPS è relativamente sicuro perché il trasferimento delle credenziali ai dispositivi client che ne fanno richiesta resta attivo per un paio di minuti e la funzionalità si disattiva in modo automatico.
Decisamente da evitare è invece il cosiddetto PIN WPS: si tratta di una funzionalità che resta sempre attiva e che può essere sfruttata per accedere alla rete WiFi anche da parte di utenti non autorizzati. Essa basa il suo funzionamento sull’utilizzo di un PIN di protezione a 8 cifre che può essere indovinato per tentativi, senza peraltro un grosso sforzo.
Un eventuale aggressore non dovrebbe infatti provare tutte le 108 combinazioni perché il PIN WPS è in realtà suddiviso in due sottogruppi da quattro cifre ciascuno con l’ultima che svolge il ruolo di checksum: sono quindi soltanto 11.000 (104+103) le combinazioni possibili.
La funzionalità WPS va disattivata sul router?
Se il pulsante fisico WPS è decisamente più sicuro rispetto all’uso del PIN WPS (ne parliamo anche nell’articolo Pulsante WPS, come funziona e quanto è sicuro), va detto che alcuni produttori di router hanno comunque posto in campo alcune difese.
Dal momento che con la funzionalità PIN WPS attiva sul client è necessario digitare il PIN impostato sul router per ricevere i dati di accesso alla WiFi e usare la rete, alcuni produttori di router si sono attivati per bloccare ulteriori tentativi dopo l’inserimento errato del PIN per 3 o 5 volte di seguito.
In alcuni casi alcuni router hanno sempre lo stesso codice PIN impostato quindi accedere alla WiFi è cosa assolutamente banale; alcuni modelli di router, invece, non generano il PIN in modo pseudocasuale ma si basano sul numero seriale del router stesso. È quindi molto semplice risalirvi.
Altri produttori hanno disabilitato direttamente l’opzione PIN WPS mentre consentono solo l’accesso per default tramite la pressione del pulsante fisico. Altri le lasciano attivate entrambe oppure hanno optato per una disabilitazione di entrambe le modalità di accesso facilitato alla rete WiFi.
Va detto, inoltre, che il pulsante fisico WPS e la funzionalità PIN WPS non trasferiscono ovviamente i dati di accesso a tutte le reti WiFi configurate sul router.
I moderni dispositivi consentono di usare sia la tradizionale banda dei 2,4 GHz, quella più performante (ma con un raggio di copertura inferiore) sui 5 GHz e presto con WiFi 6E anche le frequenze sui 6 GHz. Per impostazione predefinita il router potrebbe trasmettere solo la password e le informazioni per l’accesso alla WiFi sui 2,4 GHz. Il trasferimento delle informazioni relative agli SSID sulle altre bande di frequenza potrebbe non essere possibile o richiedere un intervento dell’utente.
Inoltre, la stragrande maggioranza dei router non consente di attivare WPS sulle reti WiFi guest: la funzionalità si riferisce esclusivamente agli SSID delle reti principali.
Dal punto di vista della sicurezza il gioco non vale la candela: sempre meglio disattivare completamente WPS dalla sezione WiFi del router e piuttosto segmentare la rete separando i dispositivi non affidabile o appartenenti a soggetti terzi da quelli più importanti collegati alla rete principale e in grado di “vedere” e raggiungere i dispositivi collegati in LAN.
La creazione di una o più reti WiFi guest è quindi un’ottima idea ma è essenziale accertarsi che i dispositivi wireless ad esse collegati non abbiano effettivamente la possibilità di interagire con la LAN principale. Sembra cosa scontata? Come accertammo già un paio di anni fa, purtroppo, non lo è affatto: Reti WiFi guest: attenzione a come si condivide la connessione.
E allora, anziché attivare WPS, è possibile generare ad esempio un codice QR che permetta di semplificare l’accesso alla rete attraverso la WiFi guest a singoli utenti, senza obbligarli a digitare alcuna password. Ne parliamo nella seconda parte dell’articolo Chiave di sicurezza di rete: cos’è e come recuperarla.