Sinds de eerste wifi-standaard uit 1997 is wifi voorzien van versleuteling, zodat het draadloze verkeer niet afgeluisterd kan worden. Oorspronkelijk werd de beveiliging wep gebruikt die vervolgens vervangen werd door wpa en wpa2. Sinds kort bestaat ook wpa3 als opvolger. Wat is er verbeterd?

In 2003 werd het onveilige en gekraakte wep (Wired Equivalent Privacy) vervangen door tussenoplossing wpa (Wi-Fi Protected Access), en in 2004 werd de echte opvolger van wep vastgesteld in de vorm van wpa2. Lange tijd leek wpa2 veilig te zijn, maar in 2017 bleek met de onthulling van KRACK (Key Reinstallation Attack) dat wpa2 niet langer gegarandeerd veilig meer is.

Het is na veertien jaar de hoogste tijd voor een bijgewerkte beveiliging en die is er in de vorm van wpa3. Net als bij voorganger wpa2 wordt er bij wpa3 onderscheid gemaakt tussen een personal- en enterprise-variant. In wpa3-enterprise is weinig veranderd ten opzichte van wpa2-enterprise, al zijn de richtlijnen om de beveiliging goed te implementeren strikter geworden. Wel is er een extra sterke optionele 192bit-versleuteling toegevoegd voor instellingen of ondernemingen met hoge veiligheidseisen zoals de overheid of defensie.

Thuis zul je doorgaans gebruikmaken van de personal-variant van wpa waarin je een wachtwoord gebruikt om toegang te krijgen tot een netwerk. Juist die personal-variant is met wpa3 een stuk veiliger geworden.

WPA3-encryptie

Wep is gebaseerd op 64- of 128bit-rc4-versleuteling met een vaste sleutel. Dat zorgde ervoor dat wep eenvoudig bleek te kraken. Stoplap wpa gebruikt dezelfde rc4-versleuteling, maar in combinatie met Temporal Key Integrity Protocol (TKIP) zodat dynamische sleutels gebruikt worden. Het gebruik van dezelfde rc4-versleuteling als basis zorgde ervoor dat apparatuur met ondersteuning voor wep eenvoudig bijgewerkt kon worden naar het veiligere wpa.

De echte oplossing was wpa2, dat gebruikmaakt van CCMP (Counter Mode CBC-MAC Protocol) op basis van betere 128bit-aes-versleuteling. De beveiliging van wpa2 werkt op basis van de zogenoemde pre-shared key (psk) oftewel het wifi-wachtwoord. De sleutel zelf wordt niet in eenvoudig leesbare tekst door de lucht gegooid. Op basis van een ‘four-way handshake’ bewijzen client en accesspoint door middel van versleutelde berichten aan elkaar dat ze op basis van dezelfde psk werken. Wanneer dat bewezen is, wordt er een daadwerkelijke encryptiesleutel uitgewisseld.

Sinds 2006 is wpa2 een verplicht onderdeel van nieuwe apparatuur. De kwetsbaarheid van wpa2 zit hem in de psk die in de four-way handshake als basis voor een deel van de communicatie gebruikt wordt. Die communicatie kan worden opgenomen en zo offline gekraakt worden om toegang tot het netwerk te krijgen. Hierbij kan een client van het netwerk afgegooid worden zodat de four-way handshake opnieuw wordt uitgevoerd.

©PXimport

De verbetering van wpa3 zit hem in de manier waarop de encryptiesleutel wordt uitgewisseld. Wpa3 is net als wpa2 gebaseerd op aes-versleuteling, maar maakt gebruik van Simultaneous Authentication of Equals (SAE) dat de pre-shared key vervangt. SAE gebruikt iets dat Dragonfly heet om de encryptiesleutel tussen client en netwerk uit te wisselen. Het wifi-wachtwoord wordt hierbij gebruikt om voor iedere nieuwe client een unieke sleutel, de Pairwise Master Key (PMK), uit te wisselen die vervolgens als basis voor de encryptie wordt gebruikt.

Vervolgens wordt net als bij wpa2 de four-way handshake gebruikt. Zelfs als het wifi-wachtwoord uitlekt, is het niet mogelijk om de unieke sleutel te achterhalen en de encryptie te breken. Het is ook niet langer mogelijk om de four-way handshake op te nemen om deze offline te kraken.

Overgangsperiode

Maar als je router of accesspoint geschikt is voor wpa3, betekent dat niet dat al je clients ook met wpa3 kunnen omgaan. Een router of accesspoint met ondersteuning voor wpa3 krijgt daarom een WPA3-Personal Transition Mode. Hierbij wordt voor apparaten die dat ondersteunen verplicht wpa3 gebruikt, terwijl voor oudere apparaten wpa2-personal beschikbaar blijft. Wpa3 en wpa2 kunnen zo door elkaar gebruikt worden waarbij ook hetzelfde wifi-wachtwoord gebruikt wordt.

Er wordt wel aangeraden om de Transition Mode zodra het kan uit te schakelen en enkel ondersteuning voor wpa3 in te schakelen. Overigens is wpa2 ook direct de enige alternatieve beveiliging die toegestaan wordt, het normale wpa wordt dus niet langer ondersteund.

Easy Connect

Wifi heeft in de vorm van wps een manier om apparaten eenvoudig toe te voegen aan een beveiligd netwerk zonder dat de beveiligingssleutel hoeft te worden ingetikt. Voor het koppelen via wps volstaat het indrukken van knopjes of een pincode. Helaas is wps ook niet veilig en kun je de ondersteuning beter uitschakelen op je router of accesspoint. Met Easy Connect voegt de WiFi Alliance een nieuwe methode toe aan wifi waarmee apparaten zonder beveiligingssleutel met het netwerk verbonden kunnen worden.

Zo kan een apparaat toegevoegd worden via het scannen van een qr-code met een smartphone. Via een beveiligde verbinding worden vervolgens de gegevens van het netwerk uitgewisseld. Als alternatief voor de qr-code kan ook een code worden ingetikt. Hoewel het tegelijkertijd met wpa3 is aangekondigd, is Easy Connect geen onderdeel van wpa3, en kan het ook geïmplementeerd worden in combinatie met wpa2.

Hoewel officieel ook geen onderdeel van wpa3, worden open netwerken in de toekomst onder de naam Wi-Fi Enhanced Open beter beveiligd. In de basis komt het erop neer dat wanneer een gebruiker met een open netwerk zonder wachtwoord verbinding maakt, er toch versleuteling wordt gebruikt. Zo kan het draadloze verkeer dat door de lucht gaat niet langer afgeluisterd worden. Een kanttekening is wel op zijn plaats: hoewel iedere vorm van beveiliging natuurlijk is meegenomen, beschermt Enhanced Open je uiteraard niet tegen valse accesspoints.

De toekomst

Ondersteuning vanuit draadloze routers of accesspoints is één ding, ook de clients moeten om kunnen gaan met wpa3. Moderne draadloze netwerken zullen in het begin zowel wpa2 als wpa3 door elkaar heen gebruiken en vermoedelijk zal het minimaal een paar jaar duren voordat wpa2 in de praktijk niet meer gebruikt wordt.

Ook zal er enige tijd verwarring zijn over welke beveiligingsmethoden precies ondersteund worden, omdat wpa3, Easy Connect en Wi-Fi Enhanced Open drie verschillende certificeringsprogramma’s zijn. Een router met wpa3 ondersteunt dus niet zonder meer Easy Connect of Wi-Fi Enhanced Open. Je moet dus goed opletten of je nieuwe router of accesspoint daadwerkelijk alle beveiligingsmethodes ondersteunt die je wilt hebben.

Je huis is slimmer dan je misschien denkt. Van smart-tv's tot beveiligingscamera's, van streamingapparaten tot slimme speakers: een gemiddeld huishouden telt inmiddels 22 verbonden apparaten. Maar die verbondenheid maakt het huis ook kwetsbaarder voor digitale aanvallen, waarschuwt cybersecuritybedrijf Bitdefender in het nieuwe 2025 IoT Security Landscape Report, opgesteld met Netgear.

Volgens het onderzoek krijgt een gemiddeld huishouden te maken met 29 aanvallen per dag, bijna drie keer zoveel als in 2024, toen Bitdefender nog ongeveer tien aanvallen per dag registreerde. De cijfers zijn gebaseerd op gegevens van 58 miljoen apparaten in 6,1 miljoen huishoudens verspreid over de VS, Europa en Australië. In totaal werden 13,6 miljard IoT-aanvallen en 4,6 miljard pogingen tot kwetsbaarheidsmisbruik geanalyseerd.

Bitdefender zegt wereldwijd meer dan twaalf miljoen digitale bedreigingen per dag te blokkeren via zijn slimme thuisbeveiliging, waaronder Netgear Armor. Volgens het bedrijf komt 93 procent van alle netwerkverkeer dat wordt onderschept van geautomatiseerde portscans – bots die voortdurend zoeken naar open verbindingen. Daarmee is het internet volgens de onderzoekers een constante bron van achtergrondactiviteit waarin elk apparaat vroeg of laat wordt geraakt.

©Production Perig

Bijna driekwart van de gevonden kwetsbaarheden (74 procent) valt in de categorie hoog risico met een CVSS-score tussen 7,0 en 7,8. Nog eens 8 procent wordt als kritiek beoordeeld, wat betekent dat aanvallers volledige controle over een apparaat kunnen krijgen. Vooral streamingapparaten, smart-tv's en IP-camera's vormen een risico: samen zijn ze goed voor meer dan de helft van alle kwetsbare IoT-apparaten.

Bitdefender noemt daarnaast slimme stekkers en netwerkopslag (NAS) als steeds vaker aangevallen apparaten. Ze zijn vaak altijd online, maar krijgen zelden updates. Daardoor kunnen ze eenvoudig worden misbruikt als toegangspunt tot het thuisnetwerk of als onderdeel van botnets die worden ingezet voor grootschalige DDoS-aanvallen.

Volgens Bitdefender maakt de groei van het aantal verbonden apparaten huishoudens kwetsbaarder dan ooit. Beveiliging zou daarom niet pas op apparaatniveau moeten beginnen, maar al bij de router.

Wat kun je zelf doen?

Er is veel dat je zelf kunt doen om je slimme huis beter te beveiligen. Bitdefender noemt onder meer de volgende maatregelen:

Met de Dreame H15 Pro Foamwash gaat het Chinese merk net een stapje verder als het om dweilen gaat, terwijl het de stofzuigprestaties niet laat overschaduwen. Ondanks dat pakt het merk niet elk probleem aan van het 699 euro kostende apparaat.

2025 is het jaar van de Dreame H15 Pro-serie, waarvan de Dreame H15 Pro Foamwash de meest recente versie is. Het is ook een van de duurdere modellen binnen deze reeks (waartoe onder meer ook de H15 Pro en H15 Mix behoren). Dit model richt zich vooral op de dweilfunctie en introduceert daarvoor een speciale foamkop. Deze kop spuit schuim op de vloer, waardoor hardnekkig vuil en uitwerpselen van huisdieren beter loskomen.

In de basis is dit nog steeds de vertrouwde H15 Pro, maar dan met een paar opvallende extra's. De Foamwash heeft net als het standaardmodel een robotarm die voorkomt dat muren nat worden en een ingebouwde wisser die de dweilborstel schoonhoudt. Je kunt het apparaat zowel rechtop als plat gebruiken, waardoor je ook moeiteloos onder banken en stoelen dweilt. Instellen en bedienen doe je eenvoudig via de Dreame-app.

©Wesley Akkerman

Dezelfde basis

Ook heb je er qua onderhoud bijna geen omkijken naar. Je plaats hem op de meegeleverde oplaadbasis, drukt op de knop voor zelfreiniging en vervolgens doet het apparaat de rest. Het maakt schoon met heet water en neemt de tijd voor het drogen, waardoor er geen nare geurtjes ontstaan. Je kunt alles zó instellen dat er om de zoveel tijd een extra schoonmaakbeurt wordt uitgevoerd, zodat je huis fris blijft en nare geurtjes geen kans krijgen.

Hoewel we over het algemeen positief zijn over de Dreame H15-serie, blijven er ook aandachtspunten. Net als bij het Pro-model zonder toevoeging, herkent dit model geen kabels en kan het die dus per ongeluk opzuigen. Tapijtherkenning ontbreekt eveneens, en water en vuil belanden samen in één opvangbak in plaats van apart. Bovendien zit de schoonwaterbak ondersteboven – en dat levert geregeld een kliederboel op.

©Wesley Akkerman

Unieke eigenschappen

In vergelijking met de H15 Pro en H15 Pro Heat biedt de Foamwash net wat meer zuigkracht, met 23.000 Pa. Ook heeft deze variant, net als de robotstofzuigers, een speciale borstel die korte metten maakt met (dieren)haren, zodat ze niet vast blijven zitten of zich ophopen tijdens het schoonmaken. Dat maakt dit apparaat een uitstekende optie voor mensen met huisdieren of lang haar (of allebei), vooral op harde vloeren.

Net zoals veel andere H15-versies biedt de Foamwash dus een unieke functie aan. Zoals gezegd kun je tijdens het schoonmaken een laagje schuim op de grond spuiten. Dit gaat heel soepel met een klein hendeltje dat onder je duim rust. Als je dat naar beneden duwt en kort ingedrukt houdt, spuit de stofzuigermond wat foam op de grond. Vervolgens ga je hier met de nat-droogstofzuiger overheen en maak je schoon zoals je dat ook zonder schuim zou doen.

©Wesley Akkerman

Met of zonder schuim

Maar waarom zou je dat doen? Nou, die extra schuimlaag kan twee dingen doen. Ten eerste helpt het schuim om nare geurtjes te verdoezelen en een frisse geur te verspreiden, waardoor je bijvoorbeeld geen last meer hebt van de geurtjes afkomstig van huisdierongelukjes. Daarnaast maakt het schuim grondiger schoon. Door wat extra schuim op een hardnekkige vlek te spuiten, verdwijnt die vaak sneller dan zonder foam.

Over het algemeen is de Dreame H15 Pro Foamwash al capabel genoeg om na één duw flink wat soorten vuil weg te halen. Denk dan aan sauzen, stof, brokjes, pap, appelmoes, noem maar op. In een enkel geval moet je er misschien een tweede keer overheen, maar dat is standaard voor dit soort machines. De grootste uitdaging blijft het aanpakken van aangekoekte vlekken. Vetvlekken op de grond naast het fornuis krijgt hij nog niet helemaal weg, maar vrijwel al het andere verdwijnt zonder moeite.

©Wesley Akkerman

Dreame H15 Pro Foamwash kopen?

Tijdens het gebruik merkten we dat de Dreame H15 Pro Foamwash dankzij de extra schuimfunctie goed presteert bij hardnekkige of opgedroogde vlekken. Je moet er soms wel een paar keer overheen gaan en bij elke beweging wat schuim laten vrijkomen, maar dat is precies waarom je dit apparaat in huis haalt. Het schuim weekt het vuil los, waardoor het na een paar bewegingen moeiteloos verdwijnt.

Tel daarbij op dat de Foamwash niet heel zwaar in de hand ligt, gemakkelijk over de vloer rijdt en redelijk flexibel is en je houdt een betrouwbare nat-droogcombinatie over die vuil sneller en beter weghaalt dan menig ander dweilstofzuiger. De prijs is vrij fors, maar met een goede aanbieding haal je een sterke allrounder in huis. Dat laagje schuim maakt echt verschil. Bovendien is de basis op orde, aangezien de H15 Pro het fundament vormt.