Il pentest Wi-Fi del 2020 (handshake WPA2 + hashcat su rockyou) è morto. WPA3 con SAE rende inutile l’attacco offline classico, OWE cripta le reti aperte, e PMF protegge i management frame. Ma “morto” non vuol dire “sicuro” — ci sono altri vettori, alcuni nuovi, alcuni ereditati. Vediamo come si struttura un pentest wireless serio nel 2026.
Le fasi reali di un pentest Wi-Fi
| Fase | Obiettivo | Output |
|---|---|---|
| 1. Scoping | Definire SSID in scope, perimetro fisico, regole | Documento firmato |
| 2. Recon passivo | Mappare AP, BSSID, client, security mode | Mappa con kismet/wifite |
| 3. Recon attivo | Probe, deauth controllati (se in scope), test 802.11w | Dataset client/AP |
| 4. Auth attacks | Attacchi su SAE, OWE, PSK, 802.1X | Tentativi + risultati |
| 5. Post-auth | Lateral, captive portal, segmentation | Path su LAN/VLAN |
| 6. Reporting | Findings, severity, remediation | Report tecnico + executive |
Tutto quanto sopra solo con autorizzazione scritta che includa specifico consenso per attività wireless ed elenco SSID/BSSID in scope. Senza, è 615-ter c.p. in Italia. Punto.
WPA3-Personal (SAE): cosa funziona ancora e cosa no
SAE (Simultaneous Authentication of Equals, RFC 7664 + 802.11-2020) sostituisce il 4-way handshake PSK con uno scambio Dragonfly resistente all’offline dictionary attack. La password non si bruteforza più catturando un handshake e macinando con hashcat: ogni tentativo richiede interazione live con l’AP.
Cosa puoi ancora fare:
- Online password attack rate-limited: alcuni AP non rate-limitano SAE, puoi tentare ~10-50 password al secondo prima di farti vedere. Su password deboli (10-15M attempt) può funzionare. Tool:
hostapd-mana, custom script conwpa_supplicant. - Side-channel su SAE / Dragonblood (CVE-2019-9494/9495/9496): vulnerabilità del 2019 ancora presenti su firmware non aggiornati. Cache attack, timing leak, group downgrade. Su patrimoni AP vecchi è ancora rilevante — verifica firmware.
- Transition mode SAE+PSK: se l’AP supporta WPA3 ma serve anche WPA2 per i client legacy, espone una rete WPA2 parallela. Lì l’handshake offline classico funziona ancora.
- Bad credentials in transition mode: se un client supporta entrambi, può essere indotto a usare il path più debole.
Cosa non funziona più:
- Cattura handshake → hashcat offline su WPA3 puro
- KRACK attack classico (mitigato da PMF + SAE)
OWE (Opportunistic Wireless Encryption)
OWE (RFC 8110) cripta le reti “aperte” senza password: niente PSK, ma il traffico tra client e AP è cifrato con Diffie-Hellman. Sostituisce la rete guest “Free_WiFi” cleartext.
Vettori reali:
- OWE Transition Mode: AP espone SSID OWE + SSID open con stesso nome per backward compat. Un attaccante può forzare client al SSID open (più vecchio) sniffando credenziali captive portal o session cookie HTTP.
- Evil twin OWE: Senza autenticazione mutua, un AP rogue con stesso SSID OWE è invisibile ai client. PMF non aiuta se è una rete diversa.
- MITM su captive portal post-OWE: il traffico OWE è cifrato fino all’AP, dopo è quello che è.
Mitigazioni che il cliente dovrebbe avere: solo OWE puro (no transition), DNS-over-HTTPS forzato, VPN obbligata su guest, captive portal HTTPS con HSTS preload.
802.11w (PMF) e attacchi deauth
Con PMF Required (obbligatorio in WPA3, opzionale in WPA2), i frame deauth/disassoc sono autenticati e gli attacchi deauth classici non funzionano più. Ma:
- PMF Optional / Capable: AP enterprise che lasciano il default permettono il fallback. Verifica con
iwowireshark(RSN capabilities → MFP Required bit). - Deauth selettivo su client legacy: client che non negoziano PMF possono ancora essere deauthenticati anche se l’AP è in PMF Capable.
- Beacon flood / CSA injection: ancora possibile in alcuni firmware, sposta i client su canali fasulli.
802.1X enterprise: il vero target
In ambiente enterprise WPA3-Enterprise / WPA2-Enterprise con 802.1X, il pentest sposta il fuoco:
- Rogue RADIUS / hostapd-mana: se i client non validano il certificato server (errore di config diffuso), MITM su credenziali PEAP-MSCHAPv2 → NTLM hash → relay o crack.
- EAP method downgrade: forzare PEAP dove possibile invece di EAP-TLS.
- Certificate pinning assente: emissione di un cert firmato da CA pubblica con CN simile, alcuni client se la bevono.
- Guest VLAN escape: testare segmentation post-auth (ARP, broadcast, multicast leak).
Nei nostri progetti la finding più ricorrente in enterprise resta “validate server certificate” disabilitato sui supplicant di un sottoinsieme di laptop.
Tooling 2026 utile
- kismet — recon passivo, log dettagliato, plugin estensibili
- hcxdumptool / hcxtools — cattura PMKID/handshake (ancora valido su WPA2 transition)
- wpa_supplicant custom — testing SAE auth rate limiting
- hostapd-mana — rogue AP per enterprise / OWE
- wifite2 — automation orchestrato delle fasi note
- eaphammer — focus su attacchi 802.1X enterprise
- bettercap — post-auth MITM, ARP spoof, captive portal cloning
- scapy — frame crafting custom
Hardware: una buona scheda monitor + injection (Alfa AWUS036ACM o simili Wi-Fi 6 entry per 2.4/5; per 6 GHz attualmente il supporto Linux è limitato a pochi chipset).
Cosa scrivere nel report
Un pentest Wi-Fi deve produrre:
- Executive summary in italiano accessibile, con rischio business
- Findings tecnici con severity (CVSS o equivalente), evidenze (cattura, screenshot), step di riproduzione
- Remediation prioritizzata: cosa chiudere subito, cosa nei prossimi 30 giorni, cosa pianificare
- Re-test incluso o opzionale dopo le fix
Tieni gli artefatti (cattura .pcapng, log) in custodia secondo data retention policy concordata, poi distruggi.
In sintesi
Il pentest Wi-Fi nel 2026 è meno “cattura e cracka”, più “metodologia su tutto il ciclo”: SAE rate-limiting, OWE transition mode, PMF effettivo, 802.1X cert validation, segmentation post-auth. Le tecniche del 2019 funzionano ancora, ma solo su parchi obsoleti — e proprio per questo trovarli vale.
Se vuoi formare il tuo team su pentest wireless o ti serve un assessment esterno sulle reti aziendali, parliamone dai contatti e dai un’occhiata al nostro servizio Pentest Wi-Fi. Se invece vuoi le basi vendor-neutral di wireless prima di approcciare l’offensive, parti dal percorso CWNA.