Un router con WPS doveva essere la scorciatoia definitiva per connettersi al Wi-Fi, eliminando il fastidio di digitare password lunghe e complicate. Questa funzionalità, il Wi-Fi Protected Setup, puntava tutto sulla comodità: consentire l'accesso a una rete con la semplice pressione di un pulsante o un PIN a 8 cifre. Tuttavia, sebbene sia stata ampiamente adottata per la sua facilità d'uso, tale semplicità ha comportato una grave falla di sicurezza che rappresenta ancora oggi una seria preoccupazione.
Cos'è il WPS e perché è stato creato?
Torniamo alla metà degli anni 2000. Il Wi-Fi domestico stava rapidamente diventando un elemento essenziale, ma connettere una nuova stampante o una console di gioco era spesso un'impresa. Bisognava capovolgere il router, strizzare gli occhi su una minuscola etichetta e digitare faticosamente una lunga stringa di caratteri casuali. Era un'esperienza frustrante per la maggior parte delle persone e il settore sapeva di aver bisogno di un modo più semplice per mettere i dispositivi online.
È qui che è entrato in gioco il Wi-Fi Protected Setup (WPS). Introdotto dalla Wi-Fi Alliance intorno al 2007, il suo obiettivo era chiaro: creare un modo infallibile e quasi istantaneo per consentire ai dispositivi di unirsi a una rete wireless sicura. È stato progettato per essere l'equivalente digitale di una chiave universale, funzionante con una singola azione. Questa attenzione alla pura facilità d'uso ha reso il router con WPS una funzionalità standard in quasi tutte le case.
Il compromesso tra semplicità e sicurezza
Il sistema è stato un successo immediato, arrivando proprio quando l'era degli smartphone iniziava a esplodere. Quella comodità, tuttavia, ha avuto un costo elevato e nascosto. Non è passato molto tempo prima che i ricercatori di sicurezza scoprissero una falla profonda nel metodo del PIN.
Il problema principale è che un PIN a 8 cifre non viene verificato come un unico numero completo. Viene invece convalidato in due metà separate, riducendo drasticamente il numero di combinazioni che un utente malintenzionato deve indovinare per violare il sistema.
Questo singolo errore di progettazione ha trasformato una funzionalità pratica in un'enorme falla di sicurezza. Dal suo debutto, milioni di famiglie nel Regno Unito sono rimaste esposte. Un rapporto ha segnalato che circa 1,2 milioni di famiglie nel Regno Unito utilizzavano router vulnerabili con WPS abilitato, suscettibili ad attacchi in grado di decifrare il PIN in poche ore. Anche se la Wi-Fi Alliance ha ufficialmente deprecato il metodo del PIN difettoso nel 2011, la funzionalità persiste su molti dispositivi, ponendo un rischio continuo. Puoi esplorare ulteriori dati sul mercato dei router Wi-Fi nel Regno Unito per vedere quanto sia ancora diffuso.
I pericoli nascosti per la sicurezza di un router con WPS
Sebbene la comodità di un router con WPS sia allettante, il suo design contiene una falla di sicurezza fondamentale che può mettere a rischio l'intera rete. Il vero pericolo non è il metodo del pulsante, ma il PIN a 8 cifre. Gli aggressori non hanno bisogno di essere vicini al tuo router; possono sfruttare questo PIN da lontano utilizzando software disponibili gratuitamente.
Questa palese vulnerabilità si riduce a un errore critico nel modo in cui viene verificato il PIN. Invece di convalidare tutte le otto cifre contemporaneamente, il router controlla il PIN in due blocchi separati e più piccoli. Prima conferma che le quattro cifre iniziali siano corrette, e solo allora passa alle tre successive (l'ottava cifra è solo un checksum di controllo).
Questo processo essenzialmente scompone un problema più grande in due problemi minuscoli e facilmente risolvibili.
Come puoi vedere, il WPS è stato creato per risolvere il problema della "password lunga e complicata" ma, così facendo, ha introdotto una falla di sicurezza molto più grave.
L'attacco brute-force reso semplice
Questo difetto di progettazione riduce drasticamente il numero di tentativi che un utente malintenzionato deve effettuare. Invece di forzare tutti i 100 milioni di possibili PIN a 8 cifre, deve solo indovinare un numero a 4 cifre e poi uno a 3 cifre.
Analizziamolo nel dettaglio:
- Prima metà: Ci sono solo 10.000 combinazioni possibili per le prime quattro cifre (0000-9999).
- Seconda metà: Ci sono appena 1.000 combinazioni possibili per le tre cifre successive (000-999).
All'improvviso, un compito apparentemente impossibile diventa banale. Un utente malintenzionato deve provare solo un massimo di 11.000 combinazioni invece di 100 milioni. L'intero processo può essere automatizzato con strumenti come Reaver, che analizzerà ogni possibile PIN fino a trovare quello giusto: un processo che può richiedere solo poche ore.
Pensalo come il caveau di una banca con una serratura a 8 cifre. Se la serratura emettesse un segnale acustico ogni volta che indovini correttamente le prime quattro cifre, decifrare l'intero codice diventerebbe ridicolmente semplice. È esattamente così che funziona la vulnerabilità del PIN WPS.
La tabella seguente contrasta nettamente lo sforzo richiesto per violare un PIN WPS rispetto a una password WPA2 standard e complessa.
Attacco al PIN WPS vs Attacco alla password WPA2 standard
| Vettore di attacco | Obiettivo | Complessità effettiva | Tempo tipico di violazione | Rischio principale |
|---|---|---|---|---|
| Attacco al PIN WPS | PIN a 8 cifre (convalidato in due metà) | 4 cifre, poi 3 cifre (max 11.000 tentativi) | Poche ore | Il difetto di progettazione consente attacchi rapidi e automatizzati. |
| Attacco WPA2 standard | Password alfanumerica di 12+ caratteri | 12+ caratteri (trilioni di combinazioni) | Mesi, anni o praticamente impossibile | Richiede un'immensa potenza di calcolo e tempo. |
La differenza è sbalorditiva. Il design del PIN WPS offre agli aggressori un'incredibile scorciatoia, rendendo la forza della tua vera password Wi-Fi completamente irrilevante.
Una volta che un utente malintenzionato ottiene il PIN WPS, può facilmente recuperare la tua password WPA/WPA2, ottenendo pieno accesso illimitato alla tua rete. Questo rende qualsiasi router con WPS abilitato una grave vulnerabilità. Un rapporto Which? del 2026 ha rilevato che il 73% dei 50 migliori router del Regno Unito con WPS era vulnerabile ad attacchi che potevano avere successo in meno di 24 ore. Il rischio è altrettanto reale in contesti professionali; un audit di NHS Digital ha rivelato che il WPS era attivo sul 41% delle reti per gli ospiti degli ospedali, esponendo dati sensibili.
Conseguenze nel mondo reale per le aziende
Per qualsiasi azienda, una rete compromessa è una catastrofe. Può portare a tutto, dal furto di dati e la diffusione di malware a danni reputazionali paralizzanti. Un utente malintenzionato potrebbe trovarsi sulla tua rete, intercettando silenziosamente le informazioni dei clienti o lanciando attacchi contro i tuoi server interni.
Comprendere il contesto più ampio della messa in sicurezza dei router di rete è fondamentale, ma affrontare il WPS è la priorità immediata. In poche parole, disabilitare il WPS su tutto il tuo hardware è un primo passo non negoziabile per rafforzare le tue difese. Da lì, puoi esplorare argomenti più ampi sulla sicurezza di rete e wireless per costruire un'infrastruttura veramente resiliente.
Come trovare e disabilitare il WPS sulla tua rete
Date le gravi falle di sicurezza insite in qualsiasi router con WPS, disattivare la funzionalità non è solo una buona idea: è un passo fondamentale per proteggere la tua rete. La buona notizia è che si tratta di una soluzione semplice che offre alle tue difese un potenziamento immediato e significativo contro gli attacchi comuni. La prima mossa è capire se il tuo router ha il WPS attivo.
Molti router rendono tutto ciò semplice con un pulsante fisico. Dai un'occhiata sul retro o sul lato del tuo dispositivo. Stai cercando un pulsante etichettato "WPS" o uno con il logo WPS universale: due frecce curve che puntano l'una verso l'altra. Se vedi quel pulsante, puoi essere certo che la funzionalità è presente.
Accesso al pannello di amministrazione del router
Anche senza un pulsante fisico, il WPS potrebbe comunque essere in esecuzione silenziosamente in background tramite il software del router. Per spegnerlo definitivamente, dovrai accedere all'interfaccia di amministrazione del tuo router, spesso chiamata pannello di amministrazione o dashboard.
In genere, il processo è il seguente:
- Trova l'indirizzo IP del router: È quasi sempre stampato su un'etichetta sul router stesso. Gli indirizzi comuni sono 192.168.1.1 o 192.168.0.1.
- Inserisci l'IP in un browser: Apri un browser web su un computer connesso alla rete e digita quell'indirizzo IP nella barra degli indirizzi.
- Accedi: Ti verranno richiesti un nome utente e una password. Se non li hai modificati, anche quelli predefiniti si troveranno sull'etichetta del router.
Una volta effettuato l'accesso, hai a disposizione il centro nevralgico della tua rete. È qui che puoi configurare tutto, dal nome della rete ai suoi protocolli di sicurezza più importanti.
Disattivazione della funzionalità WPS
Con il pannello di amministrazione aperto, il tuo prossimo compito è rintracciare le impostazioni wireless. Il nome esatto e la posizione differiranno a seconda del produttore del tuo router, che si tratti di un router domestico standard o di un dispositivo di livello enterprise di un fornitore come Meraki o Aruba.
Cerca una voce di menu etichettata "Wireless", "Wi-Fi" o "WLAN". All'interno di quella sezione, cerca un'opzione chiamata "WPS", "Wi-Fi Protected Setup" o talvolta "Push 'n' Connect". Una volta trovata, dovresti vedere un semplice interruttore, una casella di controllo o un pulsante per disabilitare il WPS.
Dopo aver disattivato la funzionalità, assicurati di fare clic su "Salva" o "Applica" per rendere permanente la modifica. È anche buona norma riavviare il router per garantire che la nuova impostazione sia completamente applicata. Disabilitare il WPS è una parte vitale di una solida postura di sicurezza wireless. Per rafforzare davvero le tue difese, potresti anche voler imparare come configurare correttamente il Wi-Fi per la tua azienda utilizzando standard moderni e sicuri.
Perché le aziende moderne devono andare oltre il WPS
Le falle di sicurezza in un router con WPS non sono solo preoccupazioni tecniche e astratte per gli esperti IT. Creano disastri reali e costosi per le aziende. In qualsiasi luogo in cui offri Wi-Fi pubblico o per gli ospiti (pensa a negozi al dettaglio, hotel o persino sale d'attesa aziendali), la cosiddetta comodità del WPS si è trasformata in un'enorme vulnerabilità. Una porta aperta sulla tua rete è un invito ai problemi, e il WPS è praticamente una porta sul retro sbloccata con uno zerbino di benvenuto davanti.
Immagina un piccolo hotel indipendente che offre Wi-Fi ai suoi ospiti. Se i loro router hanno ancora il WPS attivato, un utente malintenzionato paziente potrebbe semplicemente sedersi nelle vicinanze e trascorrere qualche ora a forzare il PIN. Una volta dentro, si trovano sulla stessa rete dei tuoi ospiti. Da lì, il passo è breve per intercettare dati non crittografati, reindirizzare le persone verso siti bancari falsi e rubare dettagli sensibili come i numeri di carta di credito.
L'alto costo di un semplice errore
Il rischio è altrettanto reale in un ambiente di vendita al dettaglio. Un utente malintenzionato potrebbe essere seduto nel parcheggio, prendendo di mira silenziosamente la rete del negozio. Violando il PIN WPS, può ottenere un punto d'appoggio sulla stessa rete che gestisce i terminali point-of-sale (POS), i sistemi di inventario e persino le comunicazioni del personale. Una violazione del genere non riguarda solo i tempi di inattività del sistema; può rapidamente degenerare nel furto dei dati di pagamento dei clienti, innescando un incubo di conformità in base a regole come il GDPR e il PCI DSS.
Il colpo alla tua reputazione derivante da un incidente del genere può essere devastante e richiedere anni per essere riparato, spazzando via la fiducia dei clienti che hai lavorato così duramente per costruire.
Per qualsiasi azienda oggi, i rischi operativi, finanziari e reputazionali legati a una violazione del WPS sono semplicemente troppo alti. Mantenere questa funzionalità obsoleta non è un'opzione sensata quando sono prontamente disponibili alternative moderne e molto più sicure.
Motivi supportati dai dati per l'aggiornamento
La portata di questa vulnerabilità è davvero allarmante. Un audit sulla sicurezza informatica del Regno Unito del 2023 condotto dal National Cyber Security Centre (NCSC) ha rivelato che un incredibile 68% dei router di consumo con WPS attivo era completamente esposto ad attacchi brute-force al PIN, mettendo a rischio milioni di case. Il problema è che questi sono esattamente gli stessi dispositivi che spesso finiscono negli ambienti delle piccole imprese, portando con sé tutti gli stessi pericoli.
Per gli amministratori IT aziendali, specialmente in settori come la vendita al dettaglio, il passaggio a soluzioni più sicure come OpenRoaming può ridurre i rischi di violazione fino al 75% eliminando del tutto le vulnerabilità del PIN. E non si tratta solo di sicurezza. Un sondaggio del Regno Unito del 2026 ha rilevato che i router WPS di vecchia generazione negli hotspot del settore alberghiero hanno portato al 22% in più di lamentele da parte degli ospiti per accessi lenti o macchinosi. Puoi approfondire l'argomento leggendo i risultati completi sul mercato dei router Wi-Fi domestici nel Regno Unito da DeepMarketInsights .
Questi numeri raccontano una storia chiara. Abbandonare un router con WPS non è solo una modifica tecnica; è una decisione aziendale fondamentale per proteggere i tuoi clienti, i tuoi dati e il tuo marchio. Il danno potenziale di una singola violazione supera di gran lunga qualsiasi minima comodità che il WPS potrebbe aver offerto in passato.
Alternative sicure per l'accesso WiFi aziendale
L'inevitabile verità è che le lacune di sicurezza in un router con WPS lo rendono inaccettabile per qualsiasi azienda oggi. Fortunatamente, abbandonare il WPS non significa sacrificare la comodità per la sicurezza. Il settore ha implementato modi molto migliori e più sicuri per gestire l'accesso alla rete che proteggono i tuoi dati e migliorano effettivamente l'esperienza dell'utente.
Questi moderni metodi di autenticazione sono creati per le sfide di sicurezza che affrontiamo oggi, offrendo il tipo di protezione solida che il WPS non è mai stato progettato per fornire. Si adattano perfettamente a un modello di sicurezza "zero-trust", in cui l'accesso è concesso a singoli utenti o dispositivi, non attraverso un segreto condiviso che è fin troppo facile da rubare.
Aggiornamento della rete con la sicurezza WPA3
L'aggiornamento più immediato ed essenziale dal vecchio standard WPA2 è il WPA3. Pensalo come il nuovo standard minimo per la moderna sicurezza Wi-Fi. Corregge direttamente molte delle debolezze del suo predecessore, introducendo una crittografia più forte e bloccando gli attacchi a dizionario offline che rendevano le reti più vecchie così vulnerabili.
Per le aziende, il WPA3-Enterprise fa un ulteriore passo avanti, utilizzando una forza crittografica a 192 bit per un controllo ancora più granulare. Si tratta di un enorme balzo in avanti, assicurando che anche se un utente malintenzionato riesce a catturare il traffico di rete, non sarà in grado di decifrarlo. L'adozione del WPA3 dovrebbe essere la base sia per le reti aziendali che per quelle degli ospiti.
Abbracciare un futuro senza password
Quando si tratta di Wi-Fi per gli ospiti e rivolto al pubblico, lo scenario ideale è un accesso che sia completamente fluido e totalmente sicuro. È esattamente qui che entrano in gioco tecnologie come Passpoint e OpenRoaming, creando un'esperienza "just connect" che elimina i macchinosi Captive Portal e le password condivise.
- Passpoint: Funziona in modo molto simile al roaming cellulare, ma per il Wi-Fi. Una volta configurato il dispositivo di un utente, può unirsi automaticamente e in modo sicuro a qualsiasi rete abilitata a Passpoint senza che l'utente debba fare nulla.
- OpenRoaming: Questa tecnologia si basa su Passpoint per creare una federazione mondiale di reti Wi-Fi. Qualcuno può accedere una sola volta con un provider affidabile (come Purple) e ottenere quindi un accesso automatico e sicuro a migliaia di reti in tutto il mondo.
Queste tecnologie sostituiscono il modello vulnerabile di una password per tutti con un sistema basato su credenziali individuali e sicure. Ciò significa che ogni connessione è crittografata fin dall'inizio, impedendo agli aggressori di curiosare nei dati: un rischio comune sulle tradizionali reti aperte per gli ospiti.
Gestione dei dispositivi con chiavi basate sull'identità
In qualsiasi ambiente aziendale complesso, hai a che fare con centinaia, se non migliaia, di dispositivi connessi: dai sensori IoT e telecamere di sicurezza alle stampanti. Gestire le password individuali per tutti loro è un incubo amministrativo e l'utilizzo di una password condivisa rappresenta un enorme rischio per la sicurezza. Se un dispositivo viene compromesso, l'intera rete è esposta.
Questo è il problema che l'Identity Pre-Shared Key (iPSK) è stata progettata per risolvere. Ti consente di generare una chiave univoca per ogni singolo dispositivo o gruppo di utenti, il tutto mentre si connettono allo stesso nome di rete (SSID). Se un dispositivo viene perso, rubato o deve essere messo offline, un amministratore può semplicemente revocare la sua chiave univoca senza interrompere nessun altro.
Per comprendere meglio la tecnologia server che rende possibili questi metodi avanzati, puoi scoprire di più su cos'è un server RADIUS e vedere come si inserisce in una progettazione di rete sicura.
D'accordo, la teoria è una cosa, ma metterla in pratica è ciò che conta davvero per la sicurezza della rete. Andiamo dritti al punto. Ecco una checklist pratica per gli amministratori IT per controllare la configurazione attuale, sbarazzarsi dei rischi derivanti da qualsiasi router con WPS e passare a qualcosa di molto più sicuro.
Il tuo primo compito? Trovare e disattivare il WPS su ogni singolo dispositivo di rete che gestisci. Questa singola azione è la vittoria più rapida che otterrai, chiudendo un'enorme falla di sicurezza notoriamente facile da sfruttare che è ancora sorprendentemente comune nelle reti aziendali.
Rintraccia ogni dispositivo: Inizia facendo un inventario completo di tutti i router e gli access point. Dovrai controllare fisicamente i dispositivi alla ricerca di un pulsante WPS e poi immergerti nelle loro dashboard di amministrazione per vedere se la funzionalità è abilitata nel software. Non dare nulla per scontato.
Spegnilo per sempre: Per ogni dispositivo che trovi con il WPS attivo, accedi al suo pannello di amministrazione. Trova le impostazioni wireless e disabilita in modo permanente il Wi-Fi Protected Setup. Assicurati di salvare le modifiche e di riavviare l'hardware per essere certo che l'impostazione venga mantenuta.
Andare oltre il WPS: i tuoi prossimi aggiornamenti di sicurezza
Pensala in questo modo: una buona sicurezza non è un singolo muro alto attorno al tuo castello. È una serie di difese: un fossato, poi un muro, poi le guardie. Se un livello fallisce, gli altri sono ancora lì per proteggere i tuoi dati critici. Questa strategia multilivello è assolutamente essenziale.
Ecco gli aggiornamenti cruciali su cui concentrarsi in seguito:
Suddividi la tua rete: Inizia a segmentare il tuo traffico. Crea reti separate (VLAN) per gruppi diversi: una per il personale interno, un'altra per l'accesso degli ospiti e una completamente isolata per hardware sensibile come terminali PoS o dispositivi IoT. Se si verifica una violazione, è contenuta in un piccolo segmento invece di diffondersi in tutta l'azienda.
Fai il salto al WPA3-Enterprise: Ovunque possibile, aggiorna le tue reti Wi-Fi allo standard WPA3-Enterprise. La sua crittografia è anni luce avanti rispetto ai protocolli più vecchi e il suo utilizzo di un'autenticazione personalizzata blocca gli attacchi brute-force che rendono i sistemi più vecchi così vulnerabili.
Valuta le opzioni senza password: Per il tuo Wi-Fi per gli ospiti e rivolto al pubblico, è tempo di esaminare soluzioni moderne come OpenRoaming . Questa tecnologia elimina le password condivise e i macchinosi Captive Portal, offrendo agli utenti una connessione fluida e sicura che è crittografata dal momento in cui si connettono.
Domande frequenti sulla sicurezza del WPS
Anche per i professionisti IT esperti, i dettagli della sicurezza Wi-Fi possono essere un po' un campo minato, specialmente con una funzionalità come il WPS che è così ampiamente fraintesa. Per aiutare a fare chiarezza, affrontiamo alcune delle domande più urgenti che sentiamo dagli amministratori di rete e da chiunque prenda sul serio la sicurezza.
Dovrei semplicemente disabilitare il WPS sul mio router?
Sì. La risposta breve, semplice e diretta è assolutamente sì. Per qualsiasi ambiente professionale o aziendale, premere quel pulsante di disattivazione è il primo passo più importante che tu possa fare.
Il problema principale è che il design del sistema PIN WPS è fondamentalmente difettoso. Lasciarlo attivo su qualsiasi router con WPS crea un'enorme falla facilmente attaccabile nelle difese della tua rete. La minima comodità che offre non vale il pericolo molto reale.
Anche il metodo del pulsante WPS è insicuro?
Tecnicamente, il metodo del pulsante è molto più sicuro del PIN. Richiede che qualcuno prema fisicamente il pulsante sul router e offre solo una finestra molto breve per connettersi, il che riduce drasticamente il rischio di un attacco remoto.
Ecco l'inghippo, però: molti router raggruppano sia il metodo del PIN che quello del pulsante. Spesso non è possibile disabilitarne uno senza disabilitare l'altro. Data la falla catastrofica nel sistema del PIN, disabilitare completamente il WPS è sempre la strada più sicura e consigliata.
Sfatare i miti comuni sul WPS
È credenza comune che avere una password WPA2 o WPA3 super sicura ti metta al riparo da un attacco WPS. Questo è completamente falso. Un attacco brute-force al WPS aggira del tutto la tua password Wi-Fi, puntando dritto al PIN per violare la tua rete.
Un altro mito è che questo sia solo un problema per i router vecchi e obsoleti. Sebbene sia vero che i dispositivi più recenti potrebbero avere un limitatore di frequenza di base per rallentare gli attacchi, molti arrivano ancora dalla fabbrica con il WPS abilitato per impostazione predefinita. Un utente malintenzionato determinato può spesso trovare un modo per aggirare queste fragili difese.
Naturalmente, una solida checklist di sicurezza va oltre il semplice Wi-Fi locale. Gli amministratori devono anche pensare a proteggere i dati una volta che lasciano l'edificio. Ciò significa implementare le migliori soluzioni VPN per una maggiore protezione dei dati , in particolare per i team remoti o il personale in viaggio. La vera sicurezza di rete significa blindare le cose a ogni livello.
Pronto ad andare oltre i metodi di accesso obsoleti e insicuri? Purple offre una potente piattaforma di rete basata sull'identità che sostituisce le rischiose password condivise con un accesso zero-trust e senza password per ospiti e personale. Proteggi la tua rete e migliora l'esperienza utente visitando https://www.purple.ai .
