Miksi WPA Enterprise on turvallisempi kuin WPA2?

WPA: n ja WPA2: n PSK-variantit käyttävät todennukseen 256-bittistä avainta, joka on johdettu salasanasta.

WPA: n ja WPA2: n Enterprise-variantit, jotka tunnetaan myös nimellä 802.1x käyttää todennukseen RADIUS-palvelinta. Todennus tehdään EAP -protokollan muunnelmilla. Tämä on monimutkaisempi, mutta turvallisempi asennus.

WPA: n ja WPA2: n keskeinen ero on käytetty salausprotokolla. WPA käyttää TKIP -protokollaa, kun taas WPA2 esittelee CCMP -protokollan tuen.

Kommentit

• Joten RADIUS-palvelinta käytettäessä käytetään EAP-protokollaa TKIP: n tai CCMP: n sijaan?
• @ Unw0und Ei, EAP on todennus -protokolla, kun taas TKIP ja CCMP ovat salaus -protokolla.
• Tätä vastausta ei ole ’ t erittäin informatiivinen. Kuinka EAP on ”turvallisempi”? Suojaako se useampia uhkia vastaan vai lisääkö voimaa raakaa voimaa vastaan? Mitä eroa TKIP: llä vs CCMP: llä on?
• EAP on turvallisempi, koska avainmateriaali on ainutlaatuinen ja luotu asiakkaan ja AP: n välillä eikä luotu tunnetun arvon (PSK) perusteella. Henkilökohtaisessa tilassa avainmateriaali generoidaan tunnetun arvon (PSK) perusteella ja kuka tahansa, jolla on tämä tunnettu arvo, voi kaapata avainkokouksen ja purkaa siten kaiken tuloksena olevan liikenteen. Lisäksi EAP: n avulla avainmateriaalia voidaan muuttaa istunnon aikana, mikä tekee siitä turvallisemman.
• WPA2 Personal käyttää yhtä avainta. Jokainen, jolla on avain, osaa purkaa tietokoneen ’ liikenteen. WiFi-segmentti on yksi iso lähetysverkko. Kiinteät verkot pitävät tietokoneen ’ liikenteen yksityisenä niin kauan kuin kytkimet on suojattu. Liikenne kulkee vaijeria pitkin ja luovutetaan vain määränpäähänsä. Jopa toiseen liittimeen kytketty henkilö ’ ei näe liikennettä, ellei kytkintä ole asetettu oikein. WPA Enterprise antaa jokaiselle käyttäjälle oman yksityisen istunnon avaimen. Tämä poistaa lähetystehosteen. Nyt WiFi-verkko käyttäytyy samalla tavalla kuin kaikilla on oma johto.

Kaikista aikaisemmista vastauksista puuttuu hyvin tärkeä askel ja sen merkitys ja ovat väärinkäsityksiä EAP: stä.

WPA2-PSK (alias WPA2 Personal) tekee asiakkaan näkökulmasta periaatteessa saman asian kuin WPA2-Enterprise: Asiakas liittää tukiasemaan, todentaa tukiasema, joka käyttää ennalta jaettua avainta ja tukiasemaa, luo 256-bittisen PMK: n (pareittain pääavain) SSID: stä ja esijaetusta avaimesta (PSK). Tätä PMK: ta käytetään sitten salaamaan tietoliikenne CCMP / AES: n tai TKIP: n avulla.

Tärkeää tässä huomioitavaa on, että kaikki asiakkaat salaavat tietonsa aina samalla PMK: lla. Joten on helppo kerätä paljon samaa PMK: lla salattua dataa. Jos joku rikkoo PMK: n, hän voi purkaa kaikki tällä avaimella salatut tiedot, menneet / tallennetut ja tulevat / reaaliaikaiset.

WPA2- Enterprise on vain hieman erilainen kulissien takana, mutta turvallisuusvaikutukset ovat vakavat: Asiakas liittää tukiasemaan, todentaa tukiasemalle, joka välittää tämän edelleen taustalla olevalle RADIUS-palvelimelle (käyttäen EAP: ta, mutta se ei ole tärkeä tässä, joten lisää siitä lopussa). Kun RADIUS-palvelin on todennanut asiakkaan, se antaa tukiasemalle OK sekä RANDOM 256bit pareittain pääavaimen (PMK) salaamaan dataliikenteen vain nykyiselle istunnolle.

No, siinä on melko suuri ero. Sen sijaan, että jokainen asiakas käyttäisi samaa PMK: ta koko ajan (jonka siemen tunnetaan selkeänä tekstinä, koska SSID: tä käytetään siemenena!), Nyt jokainen asiakas käyttää eri PMK: ta, se muuttuu jokainen istunto / yhdistys ja siemen on satunnainen ja tuntematon, eikä vain tämä, mutta tämä PMK on 256-bittinen todellinen entropia (ei hash tavallisesti paljon pienemmästä sanoja sisältävästä salasanasta), joten sanakirjahyökkäykset ovat hyödyttömiä.

Jos joku rikkoo tietyn PMK: n, hänellä on pääsy vain yhteen asiakkaan yhteen istuntoon. Lisäksi (jos käytetään oikeaa EAP-menetelmää) he eivät pääse käyttämään käyttäjien tunnistetietoja, koska ne on salattu erikseen. Se on paljon turvallisempi.

Muista myös, että tämä PMK on 256-bittinen AES , tämä on tällä hetkellä ”purettavissa” (128-bittistä pidetään tällä hetkellä turvallisena, mutta ei pitkään). Se, että WPA2-PSK: n (myös 256-bittinen) PMK voidaan murtaa, johtuu yleensä heikoista salasanoista (sanakirjahyökkäys), tunnetusta siemenestä (SSID) ja siitä, että kaikki asiakkaat käyttävät samaa PMK: ta koko ajan, joten paljon tunnettua selväkielistä salattua tekstiä voidaan siepata.

Joten, sitten hieman EAP (Extensible Authentication Protocol) -protokollasta. Tämä ymmärretään usein itsessään suojausprotokollana, mutta se ei ole ”t”. Se on pohjimmiltaan standardi viestien välittämiseksi todentamista haluavalta asiakkaalta ja todentavalta palvelimelta. EAP: lla itsessään ei ole suojausominaisuuksia, se vain määrittää, miten asiakas puhuu RADIUS-palvelimen kanssa.

Nyt voit kapseloida nämä EAP-viestit suojattuun tunneliin. Kuten HTTP (epävarma viestintäprotokolla) menee suojatun kerroksen yli, SSL / TLS tuottaa suojatun yhteyden verkkopalvelimeen. Joku sanoi toisessa vastauksessa, että EAP-menetelmiä on yli 100, jotkut hyvin epävarmoja. Tämä on totta, koska EAP on vanha, siellä on otettu käyttöön nykyään aliarvostettuja salausstandardeja.

Mutta käytännössä, jos sinun on tuettava uusimpia Apple- tai Android-koneita / -laitteita ja Windows-koneita, siellä on vain kaksi vaihtoehtoa, koska muita ei yksinkertaisesti tueta: Suojattu EAP (PEAP) ja TLS-EAP (no, valehtelin: todellakin on muutama muu, mutta toiminnallisuudessa ja suojauksessa ne ovat periaatteessa identtisiä TLS-EAP: n kanssa.)

PEAP on aivan kuin https-palvelin, asiakkaan ja RADIUS-palvelimen välille on määritetty suojattu TLS-tunneli (suojaamalla koko heidän välisen langattoman ja langallisen polunsa), palvelin esittää asiakkaalle varmenteen (yrityksissä usein oman varmentajan allekirjoittama) ja suojattu kanava määritetään tämän varmenteen perusteella.

Jos asiakkaalla on varmenteen varmentajana luotettu varmentaja, se lähettää käyttäjätunnuksensa ja salasanansa RADIUS-palvelimelle. varmentajaan ei luoteta, käyttäjä saa varoituksen varmenteesta, kuten https-sivustossa, jolla on jokin ng väärässä sertifikaatissaan. Tunnistetiedot suojataan yleensä (vanhalla ja nyt heikossa) MSCHAPv2-protokollalla, mutta sillä ei ole merkitystä, koska kaikki on jo suojattu 256-bittisellä TLS: llä. MSCHAPv2-protokolla puhuu RADIUS-palvelimen kanssa EAP: n avulla.

Ilmeinen heikko kohta on, että voit määrittää väärän tukiaseman, esittää väärän varmenteen, jolla sinulla on yksityinen avain, ja toivoa, että joku idiootti käyttäjä saa varoituksen epäluotettavasta varmenteesta ja napsauttaa vain ”luottamus” (ja tämä vaihtoehto on järjestelmänvalvoja ei ole poistanut sitä käytöstä.) Sitten voit ehkä kaapata asiakkaan heikosti salatut tunnistetiedot, jotka on melko helppo murtaa (en ole varma tästä, koska tiedän, että MSCHAPv2 voidaan helposti murtaa, jos sinulla on KOKO vaihto, tässä tapauksessa sinulla ei ole vain asiakaspuolta, koska et voinut lähettää asiakkaalle kelvollista asiakirjaa vaihdon loppuunsaattamiseksi, koska sinulla ei ole käyttäjän salasanan todellista hajautusta).

Vaikka tämä saattaa saada sinut käyttämään todellista verkkoa paljon työtä (ja epäilen sitä, mutta jos sinun on tiedettävä, tutustu MSCHAPv2-kansioon osoitteessa http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), se ei pääse mihinkään muuhun langattomaan tietoja, koska ne on salattu eri PMK: lla.

Mutta yrityksille tämä voi silti olla ongelma. Syötä TLS-EAP. TLS-EAP on periaatteessa sama kuin PEAP sillä huomattavalla erolla, että asiakkaalla on myös varmenne. Joten palvelin esittelee varmenteensa asiakkaalle, jonka asiakkaan on luotettava (koska varmentaja on luotettavassa kaupassa tai idiootti napsautti ”luottamus”), mutta asiakkaan on myös esitettävä varmenne palvelimelle. Tämä voi olla varmenne, joka on sijoitettu varmennekauppaan laitteen / työaseman valmistuttua, mutta se voi olla myös älykortilta jne. Palvelimen on luotettava tähän asiakasvarmenteeseen, tai et saa edes mahdollisuutta

Kuten monet teistä tietävät, tällainen kaksisuuntainen todennus voidaan tehdä myös HTTP: lle TLS: n kautta, mutta tätä ei usein näy yrityksen asetusten ulkopuolella. Myös siinä tapauksessa et voi käyttää verkkosivustoa, ellet ensin näytä varmentetta, johon palvelin luottaa.

Joten väärennetty tukiasema ei ole enää kovin hyödyllinen. Sinä voi saada heikosti salatut tunnistetiedot, jos idiootti napsauttaa ”luottamus” ja sinä sitten sokeasti hyväksyt minkä tahansa asiakassertifikaatin, mutta koska sinulla ei ole asiakassertifikaatin yksityistä avainta, et saa pääsyä langattomaan verkkoa, etkä saa tämän tai muiden asiakkaiden salattua langatonta dataa silti satunnaisistuntoon perustuvan PMK: n avulla.Saatat saada pääsyn johonkin intranetiin kirjautumistiedoilla, mutta jos he joutuivat vaikeuksiin määrittämään CA: n langattomaksi, he tarvitsevat todennäköisesti myös asiakasvarmenteen sitä varten.

Yrityksissä on yleistä, että sellaisia on asiakaskortti älykortilla, jonka työntekijöiden on sitten käytettävä kaikkia resursseja: sisäänkirjautuminen, verkkoresurssit, sähköposti smtps: ää, imapseja, pop3: ita, intranettejä käyttämällä https: ää. Kaikki, mikä käyttää TLS: ää, voidaan asettaa vaatimaan asiakassertifikaattia. ”niin yksinkertaista kuin laittaa se näppäimistöön ja antaa PIN-koodi, sitten Windows esittää sen, kun TLS: ää käyttävä luotettu palvelin sitä pyytää.

Joten toivon, että tämä selventää bitti. Mittakaava on: ”periaatteessa suojaamaton” (WEP) ”murtuva pienellä vaivalla” (WPA2-PSK) ”osittain sosiaalisesti suunniteltava” (WPA2-Enterprise w / PEAP) ”tällä hetkellä suojattu” (WPA2-Enterprise w / TLS-EAP ja samankaltainen)

On olemassa tapoja tehdä WPA2-PSK jonkin verran turvallisemmaksi, koska sen murtaaminen kestää kuukausia minuuttien (ennalta lasketut sateenkaaritaulukot) tai tuntien (sanakirjahyökkäys) sijaan: Aseta SSID enimmäispituiselle satunnaiselle merkkijonolle (luulen 64), koska sitä käytetään PMK: n siemenenä, ja käyttävät satunnaista ennalta jaettua avainta (PSK), jonka pituus on suurin. vaihdat sitten avaimen kuukausittain, joten voit olla kohtuullisen varma, että kenelläkään ei ole nykyistä PMK: ta tai että hänellä on / on pääsy verkkoosi.

Vaikka et voi päästä eroon siitä, että joku olisi voinut tallentaa kuukausia arvoa tietoja kaikista asiakkaista ja lukee, että kun he saavat tämän kuukauden PMK: n (mikä voidaan tehdä, koska se ei ole avain 256-bittisellä todellisella entropialla, kun lähetät käytettyä siementä uudelleen).

Toinen haittapuoli on, että sinulla on erittäin ainutlaatuinen SSID, jota langattomat laitteesi lähettävät missä tahansa. Jos jollakin on kotiverkkosi yksilöllinen SSID, se on kätevä tapa etsiä SSID-tunnuksesi osoitteesta https://wigle.net/ ja selvitä asuinpaikkasi. Joten kävelet pohjimmiltaan puhelimen / tabletin / kannettavan kanssa ja ilmoitat asuinpaikkasi …

Jos olet tietoinen yksityisyydestä, se on ehkä hyvä keskitie Pidä SSID: si asetettuna sellaiseen, joka on yleinen, mutta ei 30 parhaan joukossa (tällä tavalla ei todennäköisesti ole sateenkaaripöytiä saatavilla verkossa) ja käytä satunnaista maksimipituista PSK: ta. Menetät jonkin verran entropiaa.

Jos haluat saman suojauksen kuin langallinen, käytä WPA2-Enterprise-ohjelmaa TLS-EAP: n kanssa. (No, toistaiseksi … Mikään ei estä jotakuta kaappaamasta ja tallentamasta kaikkia haluamiaan tietoja ja purkamasta kaiken 20 vuoden aikana, kun voimme kaikki vuokrata aikaa kvanttitietokoneella ja ottaa kaikki avaimet huomioon muutamassa minuutissa.

NSA: n sanotaan rakentaneen datakeskuksen tekemään niin, tallentamalla kaikki kohtaamansa salatut tiedot, kunnes he voivat murtaa sen, joten ongelma vaikuttaa myös kaikkeen johtoon, jos se kulkee Internetin kautta. käytä koko ajan satunnaista kertaluonteista tyynyä, jonka vaihdat taajuusalueen ulkopuolelta 🙂

Kaikki sanottu, vaikka olen paranoidi ja haluan parhaan turvallisuuden ja vietän siten kaksi päivää WPA2-Enterprise -tuotteen tekemiseen / TLS-EAP -työ, tämä on luultavasti ulottumattomissa (ja ylivoimainen) useimmille kotikäyttäjille. Jos sinulla ei vielä ole verkkotunnuksen ohjainta tai muuta hakemistopalvelua verkossa, kokemus RADIUS – ja -ominaisuuksista sisältää kaikki kalliit pro wifi -laitteet, joita yritys käyttää, et todennäköisesti saa niitä työskennellä. Sinun pitäisi olla parempi vain perustamalla aina päällä oleva VPN ja ajaa se wifi-verkon yli, mikä antaa sinulle kaiken turvallisuuden ja mikään hauska EAP-virheenkorjaus.

PS. Yksinkertaisuuden vuoksi minä jätti myös sen tosiasian, että yhteys tukiaseman ja RADIUS-palvelimen välillä on myös salattu ennalta jaetulla avaimella (kutsutaan ”jaetuksi salaisuudeksi”). Afaik tämä salaus ei ole tänään hyvä (käyttää MD5: tä, joka on periaatteessa rikki) ), mutta koska laitat TLS: n sen päälle, sillä ei ole väliä. Voit käyttää kunnollista avainkokoa (64–128 merkkiä = 512–1024 bittiä toteutuksesta riippuen). Asetan aina suurimman mahdollisen salaisuuden, se voi t satuttaa.

Kommentit

• Esittelemäsi ilmeinen heikko kohta muistuttaa verkkokaupan heikkoa kohtaa – joku idiootti käyttäjä saattaa antaa luottokorttinsa yksityiskohtia näkemättä vihreää lukkoa URL-osoitteen lähellä tai punaisen rikkoutuneen. Mutta ihmettelen toisesta asiasta. Entä jos hyökkääjä ostaa TLS-varmenteen omistamalleen toimialueelle, perustaa rouge-varmentajan ja esittelee tämän varmenteen asettamalleen roistovaltiolle RADIUS? Kuulostaa siltä, että tämän ei pitäisi ’ toimia, mutta en näe ’, että kuvauksessasi ei näy mitään estävän tätä, ja toisin kuin verkkoselaimissa, joissa edes kelvollinen varmenne sivustolle www.g00gle.com saattaa saada sinut epäilemään …
• et näe ’ et näe RADIUS-palvelimen URL-osoitetta, jonka ’ puhuu uudelleen (ainakaan Windowsissa, iOS: ssä ja Androidissa).
• Varmentajan on vastattava asiakasta ’ s varoitus, jotta ’ ei toimisi.
• En ollut ’ tietoinen PEAP-MS-CHAPv2-tiedostossa olevista asiakasvarmenteista. Näen jopa TechNet-artikkelin, jossa sanotaan ” PEAP-MS-CHAP v2 EAP-tyyppi, joka on helpompi ottaa käyttöön kuin Extensible Authentication Protocol with Transport Level Security (EAP-TLS) tai PEAP-TLS koska käyttäjän todennus suoritetaan käyttämällä salasanapohjaisia tunnistetietoja (käyttäjänimi ja salasana) digitaalisten varmenteiden tai älykorttien sijaan. ” Mistä asiakasvarmenteesta puhut?
• conio: Oikein, PEAP-asiakkailla ei ’ ole varmenteita (vain palvelimella on, mutta käyttäjänimellä / salasanalla (mikä sallii hyvitysten kaappaamisen, kun MITM AP on määritetty). Sanoin, että EAP-TLS lisäsi asiakassertifikaatit sekoitukseen tämän estämiseksi.

Sano, että sinulla on 10 käyttäjät. PSK-tilassa kaikki 10 käyttäjää käyttävät samaa salasanaa saman avaimen luomiseen. Siksi todennäköisyys kaapata liikenne ja analysoida se avaimen löytämiseksi on suurempi, kun liikennettä on niin paljon, ja avain menee od, kunnes kaikki 10 käyttäjää suostuvat vaihtamaan salasanan (ja siten avaimen).

Jos nämä samat 10 käyttäjää käyttävät omaa käyttäjätunnustaan ja salasanaansa kirjautumiseen yrityksen WiFi-verkkoon, kukin käyttäjä todentaa RADIUS-palvelimelle , joka sitten luo avaimen istunnolleen ja antaa sen tukiasemalle käytettäväksi asiakkaansa kanssa.

Siksi samalla avaimella tapahtuva liikenne on vain yksi käyttäjien liikenne, joten se on 1/10-määrä niin paljon tietoja, että työskennellään, ja avain muuttuu, kun käyttäjä seuraavan kerran kirjautuu sisään. Käyttäjän salasana Todennus käyttäjän kanssa voi pysyä samana, mutta luoma avain on yksilöllinen jokaiselle istunnolle. Yhdessä hyvien salasanatottumusten kanssa WPA-yritys on parempi. Myös yksittäisten käyttäjien käyttöoikeus voidaan peruuttaa milloin tahansa vaikuttamatta muihin käyttäjiin.

Kommentit

• ” yksittäisten käyttäjien käyttöoikeus voidaan peruuttaa milloin tahansa vaikuttamatta muihin käyttäjiin ” En tiennyt sitä ’. Tarkoitatko, että ne voidaan peruuttaa reaaliajassa? Jos näin on, mitä käyttäjä näkisi? Vain katkaisu ja kun yritetään muodostaa yhteys salasanallaan virheilmoitus? Jos RADIUS-palvelimeni on kytketty SQL-tietokantaan ja poistan käyttäjän, poistetaanko tämä käyttäjä reaaliajassa? Kiitos paljon selvityksestä.

WPA2 on turvallisempi kuin WPA, kuten Terry selitti. Sinun tarvitsee vain ymmärtää molempien protokollien henkilökohtaisen (valmiiksi jaettu avain) ja yritysversioiden välinen ero.

Henkilökohtaisessa versiossa kaikki käyttäjät jakavat salaisen salasanan, joka on määritetty tukiasemassa. Yritysversiossa on keskeinen todennuspalvelin, ja kaikilla käyttäjillä on erilaiset tunnistetiedot, joita he käyttävät Wi-Fi-yhteyden saamiseksi. Joten periaatteessa ei ole yhtä jaettua salasanaa.

WPA: n Enterprise-tila (RADIUS / EAP / 802.1X) tai WPA2 tarjoaa seuraavat edut verrattuna WPA: n tai WPA2: n Personal (Pre-Shared Key tai PSK) -tilaan:

• Kaiken kaikkiaan se vaikeuttaa langattoman verkon hakkerointia.
• Jokaiselle käyttäjälle voidaan määrittää yksilöllinen kirjautumistunnus (käyttäjätunnus tai salasana, suojaussertifikaatit tai älykortti) Wi-Fi-yhteydelle yhden ainoan yleisen salasanan sijasta kaikille.
• Käyttäjä-käyttäjä snooping on estetty, toisin kuin henkilökohtaisessa tilassa, jossa yhdistetyt käyttäjät voivat kaapata toistensa liikenteen, mukaan lukien salasanat ja istunnon kaappaukset.
• Mahdollistaa lisäohjauksia (valtuutuksia), kuten kirjautumisajan, jolloin voit määrittää tarkat päivät ja kertaa käyttäjät voivat kirjautua sisään, Called-Station-ID määrittää, minkä tukiaseman kautta he voivat muodostaa yhteyden, ja Calling-Station-ID määrittää, mistä asiakaslaitteista he voivat muodostaa yhteyden.

Vaikka th e Yritystila edellyttää RADIUS-palvelimen käyttöä, siellä on isännöityjä tai pilvipalveluja .

Tässä on useita termejä sekoitettuna.

WPA2 on salausmenetelmä. Enterprise vs. personal viittaa todennusjärjestelmään, mutta ei salausjärjestelmään. Todennusmenetelmä tarkistaa periaatteessa henkilöllisyytesi verkon omistajalle, ennen kuin saat lähettää salattuja tietoja.

Salausnäkymästä WPA2-Enterprise ja WPA2-Personal on sama 256-bittinen salausalgoritmi (I sitä kutsutaan AES-CCMP: ksi). Joten niiden välinen ero on todennusjärjestelmässä.

Nyt EAP: n ja 802.1x: n voidaan ajatella olevan yksi ja sama protokolla. He määrittelevät signalointimenetelmät, jotta todennus voi tapahtua (nyt tämä on tärkeää): asiakas, tukiasema ja kolmas rekisterinpitäjänä kutsuttu yksikkö, joka tallentaa todennustiedot.EAP: tä käytetään Personal- ja Enterprise-yrityksissä, mutta tärkein ero on sijainti ja tunnistetiedot, jotka rekisterinpitäjä vaatii asiakkaalta ennen kuin hän suostuu myöntämään sille pääsyn verkkoon. PERSONALissa rekisterinpitäjän on tavallista asua samassa fyysisessä yksikössä kuin tukiasema (eli langaton reititin), ja todennusmenetelmä perustuu yleensä ennalta jaettuun avaimeen (esim. Reitittimeen esiohjelmoidut) kun ostat sen tai sen, jonka reitittimen omistaja antaa sinulle, kun tulet hänen luokseen). Kyseisen jaetun avaimen vaihtaminen vaatii maailmanlaajuisen päivityksen aina, kun joku vanhoista asiakkaista haluaa käyttää verkkoa uudelleen (eli sinun on kerrottava heille, että olet vaihtanut avaimen ja avain on XYZ). YRITYKSESSÄ rekisterinpitäjä on yleensä erillinen yksikkö, joka suorittaa RADIUS-nimistä protokollaa. Se tarjoaa enemmän hallittavuutta (esim. Valmiiksi jaettu avain jokaiselle käyttäjälle, järjestelmänvalvoja voi peruuttaa avaimen tietylle käyttäjälle jne.).

Nyt tässä on jotain todella tärkeää (tietoturvan näkökulmasta), salausavain (ts. ei todennus) on johdettu ennalta jaetusta avaimesta, joten jollekulla, jolla on ennalta jaettu todennusavain HENKILÖKOHTAISESSA, on helpompi luoda salausavain uudelleen ja purkaa siten tietojen salauksen purku. Lisäksi PERSONAL sallii muiden menetelmien yksinkertaistaa edelleen esijaetun avaimen syöttämistä, kuten painike (reitittimen ja laitteen painike samanaikaisesti ja kaikki tapahtuu saumattomasti). Tämä menetelmä vaarantaa turvallisuuden, jos joku kuuntelee kanavaa ja osoittautuu helposti rikkoutuvaksi (nyt termi helposti on suhteellinen !!). Tällainen menetelmä ei ole käytettävissä Enterprise-yrityksessä. Siksi yhteenvetona kyllä Yritys on turvallisempi, mutta sopii myös paremmin jollekin, jolla on tietoa ja resursseja asentaa ja hallita RADIUS-palvelinta. Hyvä turvallisuus saavutetaan HENKILÖKOHTAISESSA valitsemalla vahva jaettu avain ja poistamalla painikemenetelmä käytöstä langattomassa reitittimessä.

Oletan, että kun kysyt, onko WPA-Enterprise turvallisempi kuin WPA2, tarkoitat WPA2-PSK: ta (alias WPA-Personal). Tämä on vähän kuin kysyä, ovatko vihannekset terveellisempiä kuin omena. WPA-Enterprise kattaa todennusmenetelmien kirjon (noin 100 niistä kaikista laajennettavan todennusprotokollan alla), jotkut erittäin vahvoja, jotkut erittäin heikkoja. WPA2-PSK on erityinen tapa todentaa 256-bittiseen AES: ään. Ainoa mahdollinen tapa katkaista WPA2-PSK on siepata kättelypaketit ja suorittaa sitten sanakirjahyökkäys sitä vastaan. Sillä ei ole väliä kuinka monta kättelyä kaapataan (ts. Onko yksi asiakas vai 100, jotka muodostavat yhteyden salasanalla). Se ei pidä WEP: stä. Siksi, jos sinulla on hyvä salasana (esim. 20 merkkiä ja melko satunnainen), se on melko pirun turvallinen. Vertailun vuoksi WPA-Enterprise voi käyttää heikkoja järjestelmiä, kuten LEAP, joka käyttää MS-CHAPv2-kättelyjä. Nämä ovat vain 56-bittisiä DES-salauksia, jotka voidaan helposti murtaa raakan voiman avulla salasanan monimutkaisuudesta riippumatta. 100 EAP-vaihtoehdon joukosta, joiden hinta ja monimutkaisuus vaihtelevat, löydät nyt jotain, joka arvioi WPA2-PSK: n vahvuuden satunnaisella 20 merkin salasanalla. Mutta jos se on ainoa tavoitteesi, sinulta puuttuu WPA Enterprise -yrityksen asia. WPA Enterprise -ohjelman pääohjain on yksityiskohtainen hallinta, jolla voit hallita sitä, kuka tai mikä yhdistää verkkoon. WPA Enterprise voi luoda tunnistetiedot jokaiselle laitteelle ja käyttäjälle. Jos yhtäkkiä sinun on leikattava yksi käyttäjä tai laiteluokka (esim. Matkapuhelimet), voit tehdä sen. Tietysti sen perustamisessa, jos toteutat ongelman jollakin LEAP: n kaltaisella tavalla, annat vain ne ihmiset / asiat, jotka käännyt etuovessa sisään takaoven kautta. Ellei sinulla ole budjettia, resursseja ja tarvetta WPA Enterprise -palveluun, WPA2-PSK on helpompaa, halvempaa ja todennäköisesti turvallisempaa. Kolme varoitusta: Riittävän monimutkainen salasana, jota vaihdat ajoittain, et tarvitse käyttäjän tai laitekohtaista ohjausta, ja mikä tärkeintä – poista käytöstä täysin typerä WPS Protected Access (WPS), joka tulee joihinkin tukiasemiin.

Ei. WPA-Enterprise ja WPA-PSK luovat lopulta PTK-avaimen käytettäväksi TKIP-algoritmissa, koska se on WPA , joten vähemmän turvallinen kuin WPA2, olipa kyseessä sitten WPA2-PSK tai WPA2-Enterprise.

Enterprise tarjoaa vain salauksen nelisuuntaiselle kättelylle, kuten PEAP, tai varmenteiden käytölle, joten WPA-Enterprise on kiistatta turvallisempi kuin WPA-PSK, mutta loppujen lopuksi sama kohtalo. Enterprise tarjoaa myös paremman tarkkuuden siitä, kuka käyttää verkkoon käyttämällä käyttäjätilejä tai RADIUS- tai lopulta Active Directory -käyttäjien jaettuja avaintietoja CCMP-avainten luomisessa käytettävään materiaaliin.