Naar overzichtLaatst bijgewerkt op 3 jun 2025

Voor- en nadelen van WPA3-Enterprise

WPA3-Enterprise is een beveiligingsprotocol voor Wi-Fi-netwerken, bedoeld voor omgevingen waar hoge beveiliging en schaalbaarheid vereist zijn. Voor thuisgebruik of kleinere kantoren is WPA3-Personal meestal voldoende. Maar wanneer is het verstandig om WPA3-Enterprise voor jouw organisatie in te zetten? En wat zijn de voor- en nadelen van dit beveiligingsprotocol? Daar gaan we het in dit artikel over hebben.

Hoe werkt het?

Maar eerst, hoe werkt WPA-3 Enterprise nou precies? Dit beveiligingsprotocol maakt gebruik van 802.1X in combinatie met Radius. Hoe dit werkt hebben we uitgebreid uitgelegd in dit artikel. In een nutshell: 802.1X is een authenticatie methode die ervoor zorgt dat een individu kan inloggen op het netwerk op een vertrouwde manier. Hierdoor is het ook precies zichtbaar wie, waar, en wanneer iemand toegang heeft gehad tot het netwerk. De RADIUS-server kun je vergelijken met een digitaal adresboek, de server bevestigt of de inlogpoging juist is en of het account bekend is. Is de gebruiker niet geautoriseerd? Dan wordt de toegang geblokkeerd.

WPA 3-Enterprise bestaat in twee varianten: de standaardversie en de 192-bit mode. De laatste vereist het gebruik van strengere, vooraf gedefinieerde encryptiemethoden (zoals AES-GCM en HMAC-SHA-384) en biedt daardoor een nog hoger beveiligingsniveau. 192-bit mode is verplicht in sectoren waar vertrouwelijkheid cruciaal is, zoals de zorg, defensie en de financiële sector. Maar waarom is dit niveau van beveiliging eigenlijk nodig? Daarvoor moeten we terug naar 2017, toen een grote kwetsbaarheid in WPA2 werd ontdekt.

De KRACK-aanval

Een beetje achtergrond: WPA2-Personal werd in 2017 gekraakt via een aanval die bekendstaat als de KRACK-aanval (Key Reinstallation Attack). Deze aanval werkt alleen als de aanvaller fysiek in de buurt is van het netwerk, bijvoorbeeld door in een auto voor het huis te gaan zitten of in de buurt van een kantoor te gaan staan.

De hacker zet dan een nep-access point op met exact dezelfde netwerknaam (ook wel SSID genoemd) als het echte netwerk. Die naam is eenvoudig te achterhalen: alle apparaten in de buurt kunnen de SSID van een Wi-Fi-netwerk gewoon zien in de lijst met beschikbare netwerken.

Maar alleen de SSID is niet genoeg om toegang te krijgen tot het netwerk, apparaten zullen pas verbinding maken als ze ook het juiste wachtwoord kennen. Daarom probeert een aanvaller vaak eerst dat wachtwoord te kraken. Bij WPA2 wordt vaak gebruikgemaakt van een gedeeld wachtwoord (PSK – Pre-Shared Key), en als dat wachtwoord zwak is, kan een aanvaller het relatief eenvoudig achterhalen. Dat gebeurt meestal door een verbinding (‘handshake’) van een legitiem apparaat af te luisteren en die vervolgens offline te analyseren met woordenboek- of brute-force-aanvallen.

Het nepnetwerk zendt een sterker signaal uit dan het echte access point, waardoor apparaten automatisch verbinding maken met het nepnetwerk. Dat is standaard gedrag: apparaten kiezen meestal de sterkste verbinding. Het slachtoffer merkt niets, want het nepnetwerk stuurt al het netwerkverkeer door naar het echte access point, zodat alles “gewoon werkt”. Dit wordt ook wel een man-in-the-middle-aanval genoemd.

Maar, wat deze aanval echt ernstig maakte, is dat de hacker in dit proces misbruik kon maken van een kwetsbaarheid in het WPA2-protocol zelf. Door het Wi-Fi-signaal op een specifiek moment te onderscheppen, kon de aanvaller ervoor zorgen dat het apparaat opnieuw dezelfde encryptiesleutel installeerde, iets wat eigenlijk niet hoort te gebeuren. Daardoor werd eerder versleuteld verkeer kwetsbaar voor ontsleuteling, zelfs zonder dat het Wi-Fi-wachtwoord bekend was.

Zodra dat lukt, kan een hacker:

  • Verkeer afluisteren,
  • sessiecookies stelen (kleine stukjes informatie waarmee websites je ingelogd houden),
  • certificaten vervangen,
  • onbeveiligde data manipuleren.

Dit alles terwijl de gebruiker denkt gewoon veilig verbonden te zijn met hun vertrouwde netwerk.

De oplossing: WPA-3

Als reactie op de KRACK-aanval is toen WPA-3 ontwikkeld, en dus ook WPA-3 Enterprise. Maar, wat zijn nou dan precies de voordelen van WPA-3 Enterprise tegenover WPA-3?

  • WPA-3 Enterprise is schaalbaar, dit is ook zeer geschikt voor grote bedrijven en bedrijven die werken met extreem gevoelige informatie.
  • WPA-3 Enterprise heeft een uniek netwerkwachtwoord voor elke gebruiker, WPA-3 heeft een gedeeld wachtwoord.

Als een aanvaller slaagt om bij iemands gegevens binnen te komen, heeft hij alleen toegang tot die ene gebruiker/sessie. De rest is in principe veilig, wel kan deze aanvaller natuurlijk ook proberen meerdere gebruikers te hacken.

  • WPA-3 Enterprise maakt gebruik van gepersonaliseerd inloggen, waardoor medewerkers die uit dienst gaan automatisch geen toegang meer hebben tot het netwerk.
  • WPA-3 Enterprise kan gebruik maken van 192-bit mode-encryptie.

Dit is veiliger dan de encryptie die WPA-2 & 3 gebruiken en ook nog eens future-proof!

De nadelen van WPA-3 Enterprise

Naast de voordelen zijn er ook een paar nadelen waar je rekening mee moet houden wanneer je voor WPA-3 Enterprise kiest. WPA-3 Enterprise is namelijk ingewikkelder! Je hebt bijvoorbeeld een extra (RADIUS) infrastructuur nodig, je moet gebruikersaccounts aanmaken en beheren, en zonder ervaring kan de configuratie erg lastig zijn. Daarnaast is er meer beheerwerk, denk aan wachtwoorden beheren of gebruikers toevoegen en verwijderen. Vooral RADIUS is heel probleem gevoelig, wanneer je RADIUS server stuk of onbereikbaar is kan niemand namelijk meer inloggen, ook de beheerders niet! Het is dus belangrijk om je RADIUS server altijd goed in de gaten te houden. Wanneer er fouten ontstaan, met de RADIUS server of het WPA-3 Enterprise netwerk in het algemeen, kan dit aan veel verschillende dingen liggen, en mogelijk moet je ook nog je IT-personeel scholen om met dit netwerk om te kunnen gaan. Kortom, je hebt gewoon veel meer kennis nodig, als jouw in-house IT team dit al bezit is dat super fijn. Maar, zo niet, dan is het toch misschien tijd om je netwerk uit te besteden aan een professional (zoals Greatwaves ;)).

Waarom overstappen naar WPA-3 Enterprise?

We hebben nu de voordelen en nadelen van WPA-3 Enterprise benoemd. Maar, waarom moet jouw bedrijf nou overstappen naar dit beveiligingssysteem?

  • Voorkom datalekken bij misbruik van Wi-Fi-netwerken.
  • Voldoen aan strengere normen in o.a. zorg, financiële en overheidssectoren.
  • Beperk risico’s bij personeelsverloop of datalekken door unieke logins.
  • Verklein de kans op juridische of financiële gevolgen bij incidenten.
  • Maak je netwerk toekomstbestendig en klaar voor strengere regelgeving.

P.S. wat veel mensen niet weten is dat RADIUS niet alleen via Wi-Fi werkt, maar ook bekabeld (zie ook onze blog over RADIUS & 802.11x)! Zo kun je de beveiliging van fysieke aansluitingen ook verbeteren. Daarnaast is RADIUS ook te koppelen met je Azure omgeving of Google domein. Dit betekent volledige integratie met je Mobile Device Management (MDM) en Single-Sign-On (SSO)!

Als bedrijf is het zeker aanbevolen om te investeren in WPA-3 Enterprise, of dit nou met een in-house team is of met een IT partner. Denk je erna om jouw bedrijfsnetwerk uit te besteden? We drinken graag een kopje koffie met je! Neem contact op via ons contactformulier of boek een gratis 15 minuten telefonische kennismaking.

Artikel door:

Nina Blaauw

Marketing

Creatief? JA! Enthousiast? NOG HARDER JA! Wordt blij van mooie content, fijne edits en toffe winacties. By far de meest 'zachtvoelige' collega bij Greatwaves 💜

In dit artikel

Over de auteur

Creatief? JA! Enthousiast? NOG HARDER JA! Wordt blij van mooie content, fijne edits en toffe winacties. By far de meest 'zachtvoelige' collega bij Greatwaves 💜

Naar overzicht

Kun jij wel een beetje Greatwaves gebruiken?

Super gaaf! Neem dan gelijk even contact met ons op voor een vrijblijvend gesprek. Voor ons is geen mission impossible! Bel ons op 050 211 24 69 of vraag meteen een offerte aan.

Neem nu contact met ons op

info@greatwaves.nl
050 211 24 69