Proč je WPA Enterprise bezpečnější než WPA2?

Varianty PSK WPA a WPA2 používají pro autentizaci 256bitový klíč odvozený od hesla.

Enterprise varianty WPA a WPA2, také známé jako 802.1x používá pro účely ověřování server RADIUS. Ověřování je dosaženo pomocí variant protokolu EAP . Toto je složitější, ale bezpečnější nastavení.

Klíčovým rozdílem mezi WPA a WPA2 je použitý šifrovací protokol. WPA používá protokol TKIP , zatímco WPA2 zavádí podporu protokolu CCMP .

Komentáře

• Takže při použití serveru RADIUS bude místo protokolu TKIP nebo CCMP použit protokol EAP?
• @ Unw0und Ne, EAP je autentizační protokol, zatímco TKIP a CCMP je šifrovací protokol.
• Tato odpověď není ‚ t velmi informativní. Jak je EAP „bezpečnější“? Chrání před dalšími hrozbami nebo poskytuje větší sílu proti hrubé síle? Jaký je rozdíl mezi TKIP a CCMP?
• EAP je bezpečnější, protože klíčovací materiál je jedinečný a je vytvořen mezi klientem a AP, spíše než generován na základě známé hodnoty (PSK). V osobním režimu je klíčovací materiál generován na základě známé hodnoty (PSK) a kdokoli s touto známou hodnotou je schopen zachytit vyjednávání klíčů, a proto dešifrovat veškerý výsledný provoz. Kromě toho lze pomocí protokolu EAP během relace změnit klíčovací materiál, což ho činí bezpečnějším.
• WPA2 Personal používá jeden klíč. Každý, kdo má klíč, ví, jak dešifrovat provoz vašeho počítače ‚. Segment WiFi je jedna velká vysílací síť. Drátové sítě obvykle udržují provoz vašeho počítače ‚ v soukromí, pokud jsou přepínače zabezpečeny. Váš provoz jde po drátě a je předán pouze na místo určení. I když je někdo zapojený do jiného konektoru, ‚ nevidí provoz, pokud přepínač není nastaven správně. WPA Enterprise poskytuje každému uživateli vlastní soukromý klíč relace. Tím se odstraní vysílací efekt. Nyní se WiFi síť chová, jako by každý měl svůj vlastní kabel.

Ve všech předchozích odpovědích chybí velmi důležitý krok a jeho důsledky a nedorozumění EAP.

WPA2-PSK (neboli WPA2 Personal) v zásadě dělá to samé jako WPA2-Enterprise z pohledu klientů: Klient se přidruží k přístupovému bodu, autentizuje se přístupový bod pomocí předem sdíleného klíče a přístupový bod vytvoří 256bitový PMK (párový hlavní klíč) z SSID a předem sdíleného klíče (PSK). Tento PMK se poté používá k šifrování datového přenosu pomocí CCMP / AES nebo TKIP.

Je třeba si uvědomit, že všichni klienti budou vždy šifrovat svá data stejným PMK. Je tedy snadné shromáždit spoustu dat šifrovaných pomocí stejného PMK. Pokud někdo rozbije PMK, může dešifrovat všechna data zašifrovaná tímto klíčem, minulá / zaznamenaná a budoucí / reálný čas.

WPA2- Enterprise se v zákulisí liší jen trochu, ale bezpečnostní důsledky jsou závažné: Klient se přidruží k přístupovému bodu, ověří se k přístupovému bodu, který jej předá serveru typu back-end RADIUS (pomocí protokolu EAP, ale to není zde důležité, takže o tom více na konci). Když server RADIUS autentizuje klienta, dává přístupovému bodu OK a plus NÁHODNÝ 256bitový párový hlavní klíč (PMK) k šifrování datového provozu pouze pro aktuální relaci.

No, to je docela rozdíl. Místo toho, aby každý klient stále používal stejný PMK (jehož semeno je známé jako prostý text, protože SSID se používá jako semeno!), Nyní každý klient používá jiný PMK, mění se každá relace / asociace a semeno je náhodné a neznámé. Nejen to, ale tento PMK bude 256bitová skutečná entropie (nikoli hash z obvykle mnohem menšího hesla obsahujícího slova), takže slovníkové útoky jsou k ničemu.

Pokud někdo rozbije konkrétní PMK, získá přístup pouze k jedné relaci jednoho klienta. Také (pokud je použita správná metoda EAP) nezískávají přístup k pověření uživatelů, protože jsou jednotlivě šifrovány. To je mnohem bezpečnější.

Nezapomeňte také, že tento PMK je 256bitový AES , toto je v současné době „nepraskatelné“ (128bit je v tuto chvíli považován za bezpečný, ale ne na dlouho). Skutečnost, že PMK protokolu WPA2-PSK (také 256 bitů) lze prolomit, pochází z obvykle slabých hesel (slovníkový útok), známého semene (SSID) a skutečnosti, že všichni klienti používají stejný PMK po celou dobu, takže lze zachytit spoustu šifrovacích textů známého prostého textu.

Takže, něco málo o protokolu EAP (Extensible Authentication Protocol). Toto je často chápáno jako bezpečnostní protokol sám o sobě, ale není to v zásadě standard pro předávání zpráv od klienta, který se chce autentizovat, a serveru, který autentizuje. Samotný EAP nemá žádné funkce zabezpečení, pouze určuje, jak klient mluví se serverem RADIUS.

Nyní můžete tyto zprávy EAP zapouzdřit do zabezpečeného tunelu. Stejně jako protokol HTTP (nezabezpečený protokol zasílání zpráv) prochází zabezpečenou vrstvou, SSL / TLS poskytuje zabezpečené připojení k webovému serveru. Někdo v jiné odpovědi řekl, že existuje více než 100 různých „metod“ EAP, některé velmi nejisté. To je pravda, protože EAP je starý, byly implementovány šifrovací standardy, které jsou dnes nestandardní.

Ale v praxi, pokud potřebujete podporovat nejnovější počítače / zařízení / zařízení Apple a Android a počítače se systémem Windows, existují pouze dvě možnosti, protože ostatní prostě nejsou podporovány: Protected EAP (PEAP) a TLS-EAP (no, lhal jsem: ve skutečnosti jich je ještě několik, ale jsou v zásadě identické s TLS-EAP ve funkčnosti a zabezpečení).

PEAP je stejně jako server https, mezi klientem a serverem RADIUS je nastaven zabezpečený tunel TLS (chrání celou bezdrátovou a kabelovou cestu mezi nimi), server předává klientovi certifikát (ve společnostech často podepsán jejich vlastní CA) a na základě tohoto certifikátu je nastaven zabezpečený kanál.

Pokud má klient ve svém úložišti certifikátů důvěryhodnou CA, odešle své uživatelské jméno a heslo na server RADIUS. CA není důvěryhodný, dostane uživatel varování o certifikátu jako u https serveru, který má něco ng se svým certifikátem špatně. Pověření jsou obvykle chráněna (starým a nyní slabým) protokolem MSCHAPv2, ale to nevadí, protože vše je již chráněno 256bitovým TLS. Protokol MSCHAPv2 komunikuje se serverem RADIUS pomocí EAP.

Zjevnou slabou stránkou je, že byste mohli nastavit falešný přístupový bod, předložit falešný certifikát, jehož soukromý klíč máte, a doufat, že nějaký idiotský uživatel dostane varování o nedůvěryhodném certifikátu a jednoduše klikne na „důvěřovat“ (a tato možnost je není zakázán administrátorem). Pak byste možná mohli zachytit slabě zašifrovaná pověření klienta, která jsou poměrně snadno prolomitelná (o tom si nejsem jistá, protože vím, že MSCHAPv2 lze snadno prolomit, pokud máte CELOU výměnu v v tomto případě nebudete mít na straně klienta pouze to, jak byste nemohli klientovi poslat platnou nonce k dokončení výměny, protože nemáte skutečný hash hesla uživatele).

Zatímco toto může vám poskytne přístup ke skutečné síti se spoustou práce (a pochybuji o tom, ale pokud musíte vědět, podívejte se do MSCHAPv2 na http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), nedostane vás přístup k žádnému jinému bezdrátovému data, protože jsou šifrována pomocí jiného PMK.

Ale pro společnosti to může být stále problém. Zadejte TLS-EAP. TLS-EAP je v zásadě stejný jako PEAP s výrazným rozdílem, že klient má také certifikát. Server tedy předá klientovi svůj certifikát, kterému musí klient důvěřovat (protože CA je v důvěryhodném úložišti nebo idiot klikl na „důvěru“), ale klient musí také předložit certifikát serveru. Může to být certifikát, který byl umístěn v úložišti certifikátů, když bylo zařízení / pracovní stanice zřízeno, ale může to být také z čipové karty atd. Server musí důvěřovat tomuto klientskému certifikátu, jinak nebudete mít šanci k předložení přihlašovacích údajů.

Jak mnozí z vás možná vědí, takové obousměrné ověřování lze provést také pro protokol HTTP přes TLS, ale mimo firemní nastavení se to často nevidí. V takovém případě také nemůžete přistupovat na web, pokud nejprve neukážete certifikát, kterému server důvěřuje.

Takže falešný přístupový bod už není velmi užitečný. > může získat slabě zašifrovaná pověření, pokud idiot klikne na „důvěřovat“ a vy slepě přijmete jakýkoli certifikát klienta, ale protože nemáte soukromý klíč klientského certifikátu, nemáte přístup k bezdrátové síti v síti, ani nezískáváte šifrovaná bezdrátová data tohoto nebo jiných klientů, stále s laskavým svolením náhodného relačního PMK.Můžete získat přístup k nějakému intranetu s přihlašovacími údaji, ale pokud se dostali do potíží s nastavením CA pro bezdrátové připojení, pravděpodobně také potřebují certifikát klienta.

Ve společnostech je běžné mít takové klientský certifikát na čipové kartě, ke kterému pak zaměstnanci potřebují přístup ke všem zdrojům: přihlášení, síťové prostředky, pošta pomocí protokolu smtps, imaps, pop3s, intranet pomocí protokolu https, vše, co používá TLS, lze nastavit tak, aby vyžadovalo certifikát klienta. „Je to tak jednoduché, jako když jej vložíte na klávesnici a zadáte PIN, poté jej Windows zobrazí, když to bude vyžadovat důvěryhodný server se spuštěným TLS.

Takže doufám, že to objasní bit. Stupnice zní: „v zásadě nezajištěné“ (WEP) „prolomitelné s určitým úsilím“ (WPA2-PSK) „částečně sociálně inženýrské“ (WPA2-Enterprise s PEAP) „aktuálně zabezpečené“ (WPA2-Enterprise s TLS-EAP a podobné)

Existují způsoby, jak zajistit, aby byl WPA2-PSK o něco bezpečnější, protože jeho rozbití by trvalo několik minut místo minut (předem vypočítané duhové tabulky) nebo hodin (slovníkový útok): Nastavte svůj SSID na náhodný řetězec maximální délky (myslím 64), protože se používá jako zárodek pro PMK, a použijte náhodný předem sdílený klíč (PSK) maximální délky. poté každý měsíc změníte klíč, můžete si být přiměřeně jisti, že nikdo nemá aktuální PMK nebo neměl / nemá přístup k vaší síti.

Ačkoli se nemůžete zbavit skutečnosti, že někdo mohl uložit měsíc hodnoty všech klientů a čte, že jakmile získají PMK daného měsíce (což lze provést, protože to není klíč s 256bitovou skutečnou entropií, když vysíláte použité semeno).

Další nevýhodou je, že budete mít vysoce jedinečný identifikátor SSID, který bezdrátová zařízení budou vysílat, ať jste kdekoli. Pokud někdo má vaše jedinečné SSID vaší domácí sítě, je hračkou vyhledat vaše SSID na https://wigle.net/ a zjistit, kde žijete. Takže v zásadě chodíte s telefonem / tabletem / notebookem a oznamujete, kde bydlíte …

Pokud jste si vědomi soukromí, je to možná dobrá střední cesta udržujte svůj SSID nastavený na běžný, ale ne v top 30 nebo tak (je nepravděpodobné, že by pro něj byly k dispozici duhové tabulky online) a použijte náhodný PSK maximální délky. Ztratíte však entropii.

Pokud chcete stejné zabezpečení jako kabelové, použijte WPA2-Enterprise s TLS-EAP. (No, zatím … Někomu nic nebrání v tom, aby zachytil a uložil všechna data, která chtějí, a dešifroval je za 20 let, kdy si všichni můžeme pronajmout čas na kvantovém počítači a rozložit všechny klíče během několika minut.

Říká se, že NSA vybudovalo datové centrum, aby právě tohle, ukládalo vše šifrované, se kterými se setkají, dokud to nedokážou rozluštit, takže tento problém ovlivní také vše na kabelech, pokud překročí internet. Pokud něco musí být zabezpečeno pro po celou dobu použijte náhodnou jednorázovou podložku, kterou vyměníte mimo pásmo 🙂

Vše, co bylo řečeno, zatímco já jsem paranoidní a chci nejlepší zabezpečení, a tak strávím dva dny výrobou WPA2-Enterprise / TLS-EAP práce, je to pro většinu domácích uživatelů pravděpodobně mimo dosah (a přehnané). Pokud ve své síti již nemáte řadič domény nebo jinou adresářovou službu, zkušenosti s RADIUS a mají všechny drahé profesionální wifi zařízení, které by podnik používal, pak je s největší pravděpodobností nezískáte pracovat. Bylo by lepší, kdybyste nastavili vždy zapnutou VPN a spustili ji přes wifi, což vám poskytne veškerou bezpečnost a žádnou zábavu při ladění EAP.

PS. Kvůli jednoduchosti také vynechal skutečnost, že komunikace mezi přístupovým bodem a serverem RADIUS je také šifrována předem sdíleným klíčem (nazývaným „sdílené tajemství“). Toto šifrování dnes již není dobré (používá MD5, který je v zásadě nefunkční) ), ale protože na něj stejně použijete TLS, na tom nezáleží. Můžete použít slušnou velikost klíče (něco mezi 64-128 znaky = 512-1024 bitů v závislosti na implementaci). Vždy nastavím největší možné tajemství, může “ Neubližujte.

Komentáře

• Zjevná slabá stránka, kterou prezentujete, je podobná slabé stránce online nakupování – nějaký idiotský uživatel může poskytnout svou kreditní kartu podrobnosti, aniž byste viděli zelený zámek poblíž adresy URL nebo když vidíte červený zlomený. Zajímalo by mě ale něco jiného. Co když si útočník koupí certifikát TLS pro doménu, kterou vlastní, nastaví rouge CA a předloží tento certifikát pro nepoctivý server RADIUS, který nastavil? Zní to takto ‚ to nefunguje, ale ‚ nevidím ve vašem popisu nic, co by tomu bránilo, a na rozdíl od procházení webu, kde dokonce platný certifikát pro www.g00gle.com vás může podezřívat …
• nevidíte ‚ adresu URL serveru RADIUS, ‚ mluvíme s (alespoň ne ve Windows, iOS a Android).
• CA by musel odpovídat klientovi ‚ s cert, takže by to ‚ nefungovalo.
• Nebyl jsem ‚ si vědom žádných klientských certifikátů ve hře PEAP-MS-CHAPv2. Dokonce vidím článek TechNet, který říká “ PEAP-MS-CHAP v2 typ EAP, který je snadnější nasadit než Extensible Authentication Protocol with Transport Level Security (EAP-TLS) nebo PEAP-TLS protože ověřování uživatelů je zajištěno použitím pověření založených na heslech (uživatelské jméno a heslo) namísto digitálních certifikátů nebo čipových karet. “ O jakém klientském certifikátu mluvíte?
• conio: Správně, v klientech PEAP nemají ‚ certifikáty (pouze server ano, ale uživatelské jméno / heslo (což umožňuje zachycení kreditů, když je nastaven MITM AP). Řekl jsem, že EAP-TLS přidal do mixu klientské certifikáty, aby se tomu zabránilo.

Řekněme, že máte 10 uživatelé. V režimu PSK používá všech 10 uživatelů ke generování stejného klíče stejnou přístupovou frázi. Proto je pravděpodobnost zachycení provozu a jeho analýzy k nalezení klíče při tak velkém provozu vyšší a tento klíč bude spuštěn od dokud všech 10 uživatelů souhlasí se změnou přístupové fráze (a tedy i klíče)

Pokud tito 10 uživatelé používají své vlastní uživatelské jméno a heslo pro přihlášení do podnikové WiFi sítě, každý uživatel se autentizuje na server RADIUS , který pak vygeneruje klíč pro jejich relaci a předá jej AP k použití se svým klientem.

Proto je provoz se stejným klíčem pouze provoz jednoho uživatele, takže je to 1/10 tolik dat, s nimiž lze pracovat, a klíč se změní při příštím přihlášení uživatele. Heslo uživatele ověřování pomocí může zůstat stejné, ale klíč, který generuje, je pro každou relaci jedinečný. V kombinaci s dobrými zvyky v používání hesla je WPA podnik lepší. Přístup jednotlivých uživatelů lze také kdykoli zrušit, aniž by to ovlivnilo ostatní uživatele.

Komentáře

• “ přístup jednotlivých uživatelů lze kdykoli zrušit, aniž by to ovlivnilo ostatní uživatele “ To jsem ‚ nevěděl. Myslíte tím, že je lze odvolat v reálném čase? Pokud by tomu tak bylo, co by uživatel viděl? Stačí odpojení a při pokusu o připojení pomocí jeho hesla se zobrazí chybová zpráva? Pokud je můj server RADIUS připojen k databázi SQL a odeberu uživatele, bude tento uživatel odebrán v reálném čase? Mnohokrát děkujeme za objasnění.

WPA2 je bezpečnější než WPA, jak vysvětlil Terry. Musíte pochopit rozdíl mezi osobní (předem sdílený klíč) a podnikovou verzí obou protokolů.

Osobní verze je místo, kde všichni uživatelé sdílejí tajné heslo nakonfigurované v přístupovém bodu. V podnikové verzi existuje centrální ověřovací server a všichni uživatelé mají různé sady pověření, které používají k přístupu k WiFi. V zásadě tedy neexistuje jediné sdílené heslo.

Režim Enterprise (RADIUS / EAP / 802.1X) protokolu WPA nebo Protokol WPA2 poskytuje oproti používání režimu Personal (Pre-Shared Key nebo PSK) protokolu WPA nebo WPA2 následující výhody:

• Celkově to komplikuje proces „hackování“ bezdrátové sítě.
• Každému uživateli lze pro Wi-Fi přiřadit jedinečné přihlašovací údaje (uživatelské jméno nebo heslo, bezpečnostní certifikáty nebo čipové karty) namísto jediného globálního hesla pro všechny.
• Snooping mezi uživateli je zabráněno, na rozdíl od osobního režimu, kde připojení uživatelé mohou navzájem zaznamenávat provoz, včetně hesel a únosů relací.
• Umožňuje další ovládací prvky (autorizace), jako je čas přihlášení, což vám umožní definovat přesné dny a kolikrát se uživatelé mohou přihlásit, Called-Station-ID k určení, ke kterým přístupovým bodům se mohou připojit, a Calling-Station-ID k určení, ze kterých klientských zařízení se mohou připojit.

Ačkoli e Režim Enterprise vyžaduje použití serveru RADIUS, jsou zde hostované nebo cloudové služby .

Zde se mísí spousta termínů.

WPA2 je šifrovací schéma. Podnik vs. osobní odkazují na schéma ověřování, ale ne na schéma šifrování. Schéma ověřování v zásadě ověřuje vaši totožnost vlastníka sítě, než budete moci odesílat šifrovaná data.

Z hlediska šifrování mají WPA2-Enterprise a WPA2-Personal stejný 256bitový šifrovací algoritmus (I věří, že se jmenuje AES-CCMP). Rozdíl mezi nimi tedy spočívá ve schématu ověřování.

Nyní lze EAP a 802.1x považovat za jeden a stejný protokol. Definují signalizační metody, které umožňují ověřování mezi (nyní je to důležité): klientem, přístupovým bodem a třetí entitou zvanou registrátor, který ukládá přihlašovací údaje.EAP se používá v osobních a podnikových, ale klíčovým rozdílem je umístění a typ pověření, které registrátor vyžaduje od klienta, než souhlasí s udělením přístupu k síti. V OSOBNÍM je běžné, že se registrátor nachází na stejné fyzické entitě jako přístupový bod (tj. Bezdrátový směrovač) a metoda ověřování je obvykle založena na předem sdíleném klíči (např. Na těch, které jsou předem naprogramovány pomocí směrovače) když jej koupíte, nebo ten, který vám dá majitel routeru, když přijdete k němu). Změna tohoto předem sdíleného klíče vyžaduje globální aktualizaci, kdykoli se některý ze starých klientů chce znovu připojit k síti (tj. Musíte jim říct, že jste klíč změnili a klíčem je XYZ). V ENTERPRISE je registrátor obvykle samostatná entita, která spouští protokol s názvem RADIUS. Poskytuje větší správu (např. Předsdílený klíč pro každého uživatele, správce může zrušit klíč pro konkrétního uživatele atd.).

Nyní zde něco opravdu důležitého (z hlediska zabezpečení), šifrovací klíč (tj. ne autentizace) je odvozen od předem sdíleného klíče, takže je pro někoho, kdo má předsdílený ověřovací KLÍČ v OSOBĚ, snazší znovu vytvořit šifrovací klíč a dešifrovat data. Kromě toho PERSONAL umožňuje dalším metodám dále zjednodušit zadávání předsdíleného klíče, jako je tlačítko (tlačítko na směrovači a zařízení současně a vše se děje bez problémů). Tato metoda narušila zabezpečení, pokud někdo poslouchal na kanálu a ukázalo se, že je snadno rozbitný (nyní je výraz snadno relativní !!). Taková metoda není v Enterprise k dispozici. Stručně řečeno ano, Enterprise je bezpečnější, ale je také vhodnější pro někoho, kdo má znalosti a prostředky k instalaci a správě serveru RADIUS. Dobré zabezpečení je dosažitelné oproti OSOBNÍM výběrem silného předem sdíleného klíče a deaktivací metody tlačítka na bezdrátovém směrovači.

Předpokládám, že když se ptáte, zda je WPA-Enterprise bezpečnější než WPA2, máte na mysli WPA2-PSK (aka WPA-Personal). Je to trochu jako ptát se, jestli je zelenina zdravější než jablko. WPA-Enterprise pokrývá spektrum autentizačních metod (asi 100 z nich podle rozšířitelného autentizačního protokolu), některé velmi silné, jiné velmi slabé. WPA2-PSK je specifický prostředek autentizace spoléhající se na 256bitový AES. Jediným proveditelným způsobem, jak rozbít WPA2-PSK, je zachytit pakety handshake a poté proti němu spustit slovníkový útok. Nezáleží na tom, kolik potřesení rukou zachytíte (tj. Zda se jedná o jednoho klienta nebo 100, kteří se připojují pomocí hesla). Není to jako WEP. Pokud tedy máte dobré heslo (např. 20 znaků a poměrně náhodné), bude to docela bezpečné. Pro srovnání, WPA-Enterprise může používat schémata, která jsou slabá, jako například LEAP, který používá handshakes MS-CHAPv2. Jedná se o pouhé 56bitové šifrování DES, které lze snadno prolomit hrubou silou bez ohledu na složitost hesla. Nyní mezi 100 možnostmi EAP, které se pohybují v nákladech a složitosti, najdete něco, co by přibližovalo sílu WPA2-PSK s náhodným 20místným heslem. Pokud je to však váš jediný cíl, chybí vám smysl WPA Enterprise. Hlavním ovladačem pro WPA Enterprise je podrobná kontrola nad tím, kdo nebo co se připojuje k vaší síti. WPA Enterprise může vytvořit pověření pro každé zařízení a uživatele. Pokud najednou potřebujete odpojit jednoho uživatele nebo kategorii zařízení (např. Mobilní telefony), můžete to udělat. Samozřejmě při jeho nastavení, pokud zavrhnete implementaci pomocí něčeho jako LEAP, necháte ty lidi / věci, které odvrátíte u předních dveří, nechat zadními dveřmi. Pokud nemáte rozpočet, zdroje a potřebu WPA Enterprise, bude WPA2-PSK jednodušší, levnější a pravděpodobně bezpečnější. Tři upozornění: Dostatečně složité heslo, které občas změníte, nepotřebujete žádnou kontrolu konkrétního uživatele nebo zařízení, a co je nejdůležitější – deaktivujte ten naprosto hloupý chráněný přístup Wifi (WPS), který je na některých přístupových bodech k dispozici.

Není. WPA-Enterprise a WPA-PSK nakonec vytvoří klíč PTK, který se použije v algoritmu TKIP, protože je WPA , tedy méně bezpečný než WPA2, ať už jde o WPA2-PSK nebo WPA2-Enterprise.

Enterprise nabízí pouze šifrování pro čtyřcestné handshake, jako je PEAP, nebo použití certifikátů, takže WPA-Enterprise je prokazatelně bezpečnější než WPA-PSK, ale nakonec ho potká stejný osud. Enterprise také nabízí vyšší granularitu nad tím, kdo přistupuje k síť pomocí uživatelských účtů nebo předsdílených informací o klíčích na uživatele z RADIUS nebo nakonec ze služby Active Directory pro materiál, který se má použít při generování klíčů CCMP.