Pourquoi WPA Enterprise est-il plus sécurisé que WPA2?

Les variantes PSK de WPA et WPA2 utilisent une clé de 256 bits dérivée dun mot de passe pour lauthentification.

Les variantes Enterprise de WPA et WPA2, également appelées 802.1x utilise un serveur RADIUS à des fins dauthentification. Lauthentification est réalisée à laide de variantes du protocole EAP . Il sagit dune configuration plus complexe mais plus sécurisée.

La principale différence entre WPA et WPA2 est le protocole de cryptage utilisé. WPA utilise le protocole TKIP tandis que WPA2 introduit un support pour le protocole CCMP .

Commentaires

• Ainsi, lors de lutilisation dun serveur RADIUS, un protocole EAP sera utilisé à la place de TKIP ou CCMP?
• @ Unw0und Non, EAP est un protocole d authentification tandis que TKIP et CCMP sont un protocole de chiffrement .
• Cette réponse nest pas ‘ t très instructif. En quoi le PAE est-il «plus sûr»? Protège-t-il contre plus de menaces ou offre-t-il une plus grande force contre la force brute? Quelle différence fait TKIP et CCMP?
• EAP est plus sécurisé car le matériel de clé est unique et créé entre le client et AP plutôt que généré sur la base dune valeur connue (PSK). En mode personnel, le matériel de clé est généré sur la base dune valeur connue (la PSK) et toute personne ayant cette valeur connue est capable de capturer la négociation de clé et donc de décrypter tout le trafic résultant. De plus, avec EAP, le matériel de saisie peut être modifié au cours de la session, ce qui le rend plus sûr.
• WPA2 Personal utilise une clé. Tout le monde avec la clé sait comment décrypter le trafic de votre ordinateur ‘. Le segment WiFi est un grand réseau de diffusion. Les réseaux câblés gardent généralement le trafic de votre ordinateur ‘ privé tant que les commutateurs sont sécurisés. Votre trafic suit le fil et est transmis à sa destination uniquement. Même quelquun branché sur une autre prise ne peut ‘ voir le trafic que si le commutateur nest pas configuré correctement. WPA Enterprise donne à chaque utilisateur sa propre clé de session privée. Cela supprime leffet de diffusion. Maintenant, le réseau WiFi se comporte comme tout le monde a son propre fil.

Toutes les réponses précédentes manquent un très étape importante et son implication et ne comprennent pas bien EAP.

WPA2-PSK (alias WPA2 Personal) fait essentiellement la même chose que WPA2-Enterprise du point de vue du client: le client sassocie au point daccès, sauthentifie auprès du Le point daccès utilisant la clé pré-partagée et le point daccès crée un PMK 256 bits (clé principale par paire) à partir du SSID et de la clé pré-partagée (PSK). Ce PMK est ensuite utilisé pour crypter le trafic de données en utilisant CCMP / AES ou TKIP.

La chose importante à noter ici est que tous les clients crypteront toujours leurs données avec le même PMK, tout le temps. Il est donc facile de rassembler un grand nombre de données chiffrées avec le même PMK. Si quelquun brise le PMK, il pourrait déchiffrer toutes les données chiffrées avec cette clé, passées / enregistrées et futures / en temps réel.

WPA2- Lentreprise nest quun peu différente dans les coulisses, mais les implications en matière de sécurité sont graves: le client sassocie au point daccès, sauthentifie auprès du point daccès, qui le transmet à un serveur RADIUS principal (en utilisant EAP, mais ce nest pas important ici, donc plus à la fin). Lorsque le serveur RADIUS a authentifié le client, il donne au point daccès un OK, plus une RANDOM clé principale par paires (PMK) 256 bits pour chiffrer le trafic de données pour la session en cours uniquement.

Eh bien, cest toute une différence. Au lieu que chaque client utilise le même PMK tout le temps (dont la graine est connue en clair, car le SSID est utilisé comme graine!), Maintenant chaque client utilise un PMK différent, il change chaque session / association et la graine sont aléatoires et inconnues. Non seulement cela, mais cette PMK aura une entropie réelle de 256 bits (pas un hachage dun mot de passe généralement beaucoup plus petit contenant des mots), donc les attaques par dictionnaire sont inutiles.

Si quelquun brise un PMK particulier, il na accès quà une seule session dun client. De plus (si la bonne méthode EAP est utilisée), ils n’ont pas accès aux informations d’identification des utilisateurs, car elles ont été chiffrées individuellement. Cest beaucoup plus sécurisé.

Rappelez-vous également que ce PMK est AES 256 bits , cest actuellement « incassable » (128 bits est considéré comme sûr pour le moment, mais pas pour longtemps). Le fait que le PMK du WPA2-PSK (également 256 bits) puisse être craqué provient des mots de passe généralement faibles (attaque par dictionnaire), de la graine connue (SSID) et du fait que tous les clients utilisent le même PMK tout le temps, donc beaucoup de texte chiffré de texte brut connu peuvent être capturés.

Alors, un peu plus sur le protocole dauthentification extensible (EAP). Ceci est souvent compris comme un protocole de sécurité en soi, mais ce nest pas un standard pour passer des messages dun client souhaitant sauthentifier et dun serveur qui sauthentifie. EAP lui-même na pas de fonctionnalités de sécurité, il spécifie simplement comment le client parle avec le serveur RADIUS.

Maintenant, vous pouvez encapsuler ces messages EAP dans un tunnel sécurisé. Tout comme HTTP (un protocole de messagerie non sécurisé) passe sur une couche sécurisée, SSL / TLS permet une connexion sécurisée à un serveur Web. Quelquun a dit dans une autre réponse quil existe plus de 100 «méthodes» de PAE différentes, certaines très peu sûres. Cela est vrai, car EAP est ancien, il y avait des normes de chiffrement implémentées qui sont sous-standard aujourdhui.

Mais dans la pratique, si vous avez besoin de prendre en charge des machines / appareils Apple ou Android récents et des machines Windows, il existe seulement deux options, car dautres ne sont tout simplement pas prises en charge: EAP protégé (PEAP) et TLS-EAP (enfin, jai menti: il y en a vraiment quelques autres, mais ils sont fondamentalement identiques à TLS-EAP en termes de fonctionnalités et de sécurité).

PEAP est comme un serveur https, un tunnel TLS sécurisé est mis en place entre le client et le serveur RADIUS (protégeant tout le chemin sans fil et filaire entre eux), le serveur présente un certificat au client (dans les entreprises souvent signé par leur propre autorité de certification) et un canal sécurisé est configuré sur la base de ce certificat.

Si le client a lautorité de certification comme approuvée dans son magasin de certificats, il envoie son nom dutilisateur et son mot de passe au serveur RADIUS. Si lautorité de certification nest pas digne de confiance, lutilisateur reçoit un avertissement concernant le certificat comme avec un site https qui a quelque chose ng mal avec son certificat. Les informations didentification sont généralement protégées avec le (ancien et maintenant faible) protocole MSCHAPv2, mais cela na pas dimportance, car tout est déjà protégé par TLS 256 bits. Le protocole MSCHAPv2 parle avec le serveur RADIUS en utilisant EAP.

Un point faible évident est que vous pouvez configurer un faux point daccès, présenter un faux certificat dont vous avez la clé privée, et espérer quun utilisateur idiot recevra un avertissement concernant un certificat non approuvé et cliquera simplement sur «faire confiance» (et cette option est non désactivé par un administrateur). Ensuite, vous pourriez peut-être capturer les informations didentification faiblement cryptées du client qui sont assez faciles à craquer (je ne suis pas sûr à ce sujet, car je sais que MSCHAPv2 peut être facilement craqué si vous avez léchange ENTIER, en dans ce cas, vous navez que le côté client car vous ne pouvez pas envoyer un nonce valide au client pour terminer léchange, car vous navez pas le hachage réel du mot de passe des utilisateurs.

Pendant cela peut vous permettre daccéder au vrai réseau avec beaucoup de travail (et jen doute, mais si vous devez savoir, regardez dans MSCHAPv2 à http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), cela ne vous donnera pas accès à un autre réseau sans fil données, car elles sont cryptées avec un PMK différent.

Mais pour les entreprises, cela peut encore être un problème. Entrez TLS-EAP. TLS-EAP est fondamentalement le même que PEAP avec la différence notable que le client dispose également dun certificat. Ainsi, le serveur présente son certificat au client qui doit être approuvé par le client (parce que le CA est dans le magasin de confiance, ou un idiot a cliqué sur «faire confiance»), mais le client doit également présenter un certificat au serveur. Cela peut être un certificat qui a été placé dans le magasin de certificats lorsque le périphérique / poste de travail a été provisionné, mais il peut également provenir d’une carte à puce, etc. Le serveur doit faire confiance à ce certificat client, sinon vous n’aurez même pas la chance pour présenter les informations didentification.

Comme beaucoup dentre vous le savent peut-être, une telle authentification bidirectionnelle peut également être effectuée pour HTTP via TLS, mais cela nest pas souvent observé en dehors des paramètres de lentreprise. Dans ce cas également, vous ne pouvez pas accéder au site Web à moins de montrer au préalable un certificat approuvé par le serveur.

Alors maintenant, le faux point daccès nest plus très utile. Vous peut obtenir les informations didentification faiblement cryptées si lidiot clique sur «faire confiance» et que vous acceptez ensuite aveuglément nimporte quel certificat client, mais comme vous navez pas la clé privée du certificat client, vous navez pas accès au réseau sans fil réseau, et vous nobtenez pas non plus de données sans fil cryptées de ce client ou dautres clients toujours grâce au PMK basé sur une session aléatoire.Vous pouvez avoir accès à certains intranet avec les informations didentification, mais sils se sont donné la peine de configurer une autorité de certification pour le sans fil, ils ont probablement besoin dun certificat client pour cela aussi.

Dans les entreprises, il est courant davoir un tel un certificat client sur une carte à puce, dont les employés ont ensuite besoin pour accéder à toutes les ressources: connexion, ressources réseau, messagerie utilisant smtps, imaps, pop3s, intranets utilisant https, tout ce qui utilise TLS peut être configuré pour exiger un certificat client. « Cest aussi simple que de le mettre dans le clavier et de saisir un code PIN, puis Windows le présentera à la demande dun serveur de confiance exécutant TLS.

Donc, jespère que cela clarifie un bit. Léchelle est: « fondamentalement non sécurisé » (WEP) « craquable avec quelques efforts » (WPA2-PSK) « partiellement social-ingénieur » (WPA2-Enterprise avec PEAP) « actuellement sécurisé » (WPA2-Enterprise avec TLS-EAP et similaire)

Il existe des moyens de rendre WPA2-PSK un peu plus sûr, en ce sens quil faudrait des mois pour le casser au lieu de minutes (tables arc-en-ciel précalculées) ou dheures (attaque par dictionnaire): définissez votre SSID à une chaîne aléatoire de la longueur maximale (64 je pense), puisquelle est utilisée comme graine pour le PMK, et utilisent une clé pré-partagée aléatoire (PSK) de la longueur maximale. Si vous modifiez ensuite la clé tous les mois, vous pouvez être raisonnablement sûr que personne na de PMK actuel ou na / na accès à votre réseau.

Bien que vous ne puissiez pas vous débarrasser du fait que quelquun aurait pu stocker un mois valeur de données de tous les clients et lit quune fois quils obtiennent le PMK de ce mois (ce qui peut être fait, car ce nest pas une clé avec une entropie réelle de 256 bits lorsque vous diffusez la graine utilisée).

Un autre inconvénient est que vous aurez un SSID unique, que vos appareils sans fil diffuseront partout où vous allez. Si quelquun possède votre SSID unique de votre réseau domestique, il est facile de rechercher votre SSID à ladresse https://wigle.net/ et découvrez où vous vivez. Donc, vous vous promenez essentiellement avec votre téléphone / tablette / ordinateur portable pour annoncer où vous vivez …

Si vous êtes soucieux de votre vie privée, cest peut-être un bon moyen gardez votre SSID défini sur celui qui est commun, mais pas dans le top 30 environ (de cette façon, il est peu probable que des tables arc-en-ciel soient disponibles en ligne) et utilisez un PSK aléatoire de longueur maximale. Vous perdez cependant un peu dentropie.

Si vous voulez la même sécurité que filaire, utilisez WPA2-Enterprise avec TLS-EAP. (Eh bien, pour le moment … Rien nempêche quelquun de capturer et de stocker toutes les données quil souhaite et de tout décrypter en 20 ans, alors que nous pouvons tous louer du temps sur un ordinateur quantique et factoriser toutes les clés en quelques minutes.

On dit que la NSA a construit un centre de données pour faire exactement cela, stocker tout ce qui est crypté jusquà ce quils puissent le déchiffrer, de sorte que le problème affecte également tout ce qui se trouve sur les fils sil traverse Internet. Si quelque chose doit être sécurisé pour tout le temps, utilisez un pad aléatoire unique que vous échangez hors bande 🙂

Cela dit, alors que je suis paranoïaque et que je veux la meilleure sécurité et que je passe donc deux jours à créer WPA2-Enterprise / TLS-EAP travail, cest probablement hors de portée (et exagéré) pour la plupart des utilisateurs à domicile. Si vous navez pas encore de contrôleur de domaine ou un autre service dannuaire sur votre réseau, lexpérience de RADIUS et possédez tous les équipements Wi-Fi professionnels coûteux quune entreprise utiliserait, vous ne lobtiendrez probablement pas travailler. Vous feriez mieux de configurer un VPN permanent et de le faire fonctionner sur votre wifi, ce qui vous donne toute la sécurité et aucun des amusants débogages EAP.

PS. Par souci de simplicité, je a également omis le fait que la communication entre le point daccès et le serveur RADIUS est également cryptée par une clé pré-partagée (appelée « secret partagé »). Afaik ce cryptage nest pas bon aujourdhui (utilise MD5 qui est fondamentalement cassé ) mais puisque vous mettez de toute façon TLS dessus, cela na pas dimportance. Vous pouvez utiliser une taille de clé décente (quelque chose entre 64-128 caractères = 512-1024 bits selon limplémentation). Je mets toujours le plus grand secret possible, cest possible. t blessé.

Commentaires

• Le point faible évident que vous présentez est similaire au point faible des achats en ligne – un utilisateur idiot pourrait fournir sa carte de crédit détails sans voir un verrou vert près de lURL ou quand on en voit un rouge cassé. Mais je minterroge sur autre chose. Que faire si lattaquant achète un certificat TLS pour un domaine quil possède et met en place une CA rouge et présente ce certificat pour le serveur RADIUS non autorisé quil a configuré? On dirait que cela ne devrait ‘ t fonctionner, mais je ne ‘ voir rien dans votre description pour empêcher cela, et contrairement à la navigation sur le Web où vous un certificat valide pour www.g00gle.com pourrait vous faire suspecter …
• vous ne ‘ pas voir lURL du serveur RADIUS vous ‘ vous parlez (du moins pas sous Windows, iOS et Android).
• LAC devrait correspondre au client ‘ s cert, de sorte que ‘ ne fonctionnerait pas.
• Je nétais ‘ au courant daucun certificat client en jeu dans PEAP-MS-CHAPv2. Je vois même un article TechNet disant  » PEAP-MS-CHAP v2 un type EAP plus facile à déployer que le protocole d’authentification extensible avec sécurité de niveau de transport (EAP-TLS) ou PEAP-TLS car lauthentification de lutilisateur se fait en utilisant des informations didentification basées sur un mot de passe (nom dutilisateur et mot de passe) au lieu de certificats numériques ou de cartes à puce.  » De quel certificat client parlez-vous?
• conio: Correct, dans les clients PEAP ne ‘ t ont des certificats (seul le serveur en a, mais le nom dutilisateur / mot de passe (qui permet de capturer les creds quand un MITM AP est installé). Jai dit quEAP-TLS avait ajouté des certificats clients au mélange pour éviter cela.

Disons que vous en avez 10 utilisateurs. En mode PSK, les 10 utilisateurs utilisent la même phrase secrète pour générer la même clé. Par conséquent, la probabilité de capturer le trafic et de l’analyser pour trouver la clé est plus élevée avec autant de trafic, et cette clé sera disponible jusquà ce que les 10 utilisateurs acceptent de changer la phrase de passe (et donc la clé)

Si ces mêmes 10 utilisateurs utilisent leur propre nom dutilisateur et mot de passe pour se connecter à un réseau WiFi dentreprise, chaque utilisateur sauthentifie auprès du serveur RADIUS , qui génère ensuite une clé pour leur session et la remet au point daccès à utiliser avec leur client.

Par conséquent, le trafic avec la même clé nest que le trafic dun utilisateur, il représente donc 1 / 10ème de la quantité de données à utiliser, et la clé changera la prochaine fois que lutilisateur se connectera. Le mot de passe de lutilisateur authentifie avec peut rester la même, mais la clé qui génère est unique à chaque session. Combiné avec de bonnes habitudes de mot de passe, lentreprise WPA est meilleure. En outre, laccès des utilisateurs individuels peut être révoqué à tout moment sans affecter les autres utilisateurs.

Commentaires

•  » laccès des utilisateurs individuels peut être révoqué à tout moment sans affecter les autres utilisateurs  » Jai ‘ que je ne le savais pas. Voulez-vous dire quils peuvent être révoqués en temps réel? Si tel est le cas, que verrais-je lutilisateur? Juste une déconnexion et quand essaie de se connecter avec son mot de passe un message derreur? Si mon serveur RADIUS est connecté à une base de données SQL et que je supprime un utilisateur, cet utilisateur sera-t-il supprimé en temps réel? Merci beaucoup pour la clarification.

WPA2 est plus sécurisé que WPA comme lexplique Terry. Il vous suffit de comprendre la différence entre les versions personnelle (clé pré-partagée) et entreprise des deux protocoles.

La version personnelle est celle où tous les utilisateurs partagent un mot de passe secret configuré dans le point daccès. Dans la version entreprise, il existe un serveur dauthentification central et tous les utilisateurs disposent de différents ensembles dinformations didentification quils utilisent pour accéder au WiFi. Donc, fondamentalement, il ny a pas de mot de passe partagé unique.

Le mode Entreprise (RADIUS / EAP / 802.1X) de WPA ou WPA2 offre les avantages suivants par rapport à lutilisation du mode personnel (clé pré-partagée ou PSK) de WPA ou WPA2:

• Dans lensemble, cela complique le processus de «piratage» du sans fil.
• Chaque utilisateur peut se voir attribuer un identifiant de connexion unique (nom dutilisateur ou mot de passe, certificats de sécurité ou carte à puce) pour le Wi-Fi, au lieu dun seul mot de passe global pour tous.
• Snooping dutilisateur à utilisateur est empêché, contrairement au mode personnel où les utilisateurs connectés peuvent capturer le trafic des autres, y compris les mots de passe et le détournement de session.
• Active des contrôles supplémentaires (autorisations) tels que lheure de connexion, vous permettant de définir les jours exacts et fois que les utilisateurs peuvent se connecter, Called-Station-ID pour spécifier les points daccès via lesquels ils peuvent se connecter et Calling-Station-ID pour spécifier les appareils clients à partir desquels ils peuvent se connecter.

Bien que th Le mode Entreprise nécessite lutilisation dun serveur RADIUS, il existe des services hébergés ou cloud .

Il y a beaucoup de termes mélangés ici.

WPA2 est un schéma de chiffrement. Lentreprise vs le personnel se réfèrent au schéma dauthentification mais pas au schéma de chiffrement. Le schéma dauthentification vérifie essentiellement votre identité auprès du propriétaire du réseau avant que vous ne soyez autorisé à envoyer des données cryptées.

Du point de vue du cryptage, WPA2-Enterprise et WPA2-Personal ont le même algorithme de cryptage 256 bits (I pense quil sappelle AES-CCMP). Donc la différence entre eux réside dans le schéma dauthentification.

Maintenant, EAP et 802.1x peuvent être considérés comme un seul et même protocole. Ils définissent des méthodes de signalisation pour permettre à lauthentification de se produire entre (maintenant cest important): le client, le point daccès et une troisième entité appelée le registraire qui stocke les informations dauthentification.EAP est utilisé dans les particuliers et les entreprises MAIS la principale différence réside dans lemplacement et le type dinformations didentification que le bureau denregistrement exige du client avant daccepter de lui accorder laccès au réseau. Dans PERSONAL, il est courant que le registraire réside sur la même entité physique que le point daccès (cest-à-dire le routeur sans fil) et la méthode dauthentification est généralement basée sur une clé pré-partagée (par exemple, celles qui sont préprogrammées avec le routeur). lorsque vous lachetez ou celui que le propriétaire du routeur vous remettrait lorsque vous viendriez chez lui). La modification de cette clé pré-partagée nécessite une mise à jour globale chaque fois que lun des anciens clients souhaite accéder à nouveau au réseau (cest-à-dire que vous devez leur dire que vous avez changé la clé et que la clé est XYZ). Dans ENTERPRISE, le bureau denregistrement est généralement une entité distincte qui exécute un protocole appelé RADIUS. Il offre plus de facilité de gestion (par exemple, clé pré-partagée pour chaque utilisateur, ladministrateur peut révoquer une clé pour un utilisateur particulier, etc.).

Maintenant, quelque chose de vraiment important ici (du point de vue de la sécurité), la clé de chiffrement (cest-à-dire pas lauthentification) est dérivée de la clé pré-partagée, il est donc plus facile pour quelquun qui a la clé dauthentification pré-partagée dans PERSONAL de recréer la clé de chiffrement et ainsi de déchiffrer les données. De plus, PERSONAL permet dautres méthodes pour simplifier davantage le problème de la saisie de la clé pré-partagée comme le bouton-poussoir (bouton-poussoir sur le routeur et lappareil en même temps et tout se passe de manière transparente). Cette méthode compromettait la sécurité si quelquun écoutait sur le canal et se révélait facilement cassable (maintenant le terme est facilement relatif !!). Une telle méthode nest pas disponible dans Enterprise. Par conséquent, en résumé, oui Enterprise est plus sécurisé mais convient également mieux à quelquun qui possède les connaissances et les ressources nécessaires pour installer et administrer un serveur RADIUS. Une bonne sécurité est réalisable par rapport à PERSONAL en choisissant une clé pré-partagée forte et en désactivant la méthode du bouton-poussoir sur le routeur sans fil.

Je suppose que lorsque vous demandez si WPA-Enterprise est plus sécurisé que WPA2, vous voulez dire WPA2-PSK (alias WPA-Personal). Cest un peu comme demander si les légumes sont plus sains quune pomme. WPA-Enterprise couvre un spectre de méthodes dauthentification (environ 100 dentre elles toutes sous le protocole dauthentification extensible), certaines très fortes, dautres très faibles. WPA2-PSK est un moyen dauthentification spécifique reposant sur AES 256 bits. Le seul moyen possible de briser WPA2-PSK est de capturer les paquets de prise de contact, puis dexécuter une attaque par dictionnaire contre celui-ci. Peu importe le nombre de poignées de main que vous capturez (cest-à-dire que ce soit un client ou 100 qui se connectent en utilisant le mot de passe). Ce nest pas comme WEP. Par conséquent, si vous avez un bon mot de passe (par exemple 20 caractères et assez aléatoires), il sera sacrément sécurisé. Par comparaison, WPA-Enterprise peut utiliser des schémas faibles, tels que LEAP, qui utilise les handshakes MS-CHAPv2. Il ne sagit que dun cryptage DES 56 bits, facilement craquable par force brute, quelle que soit la complexité du mot de passe. Maintenant, parmi les 100 options EAP, qui varient en coût et en complexité, vous pouvez trouver quelque chose qui se rapprocherait de la force dun WPA2-PSK avec un mot de passe aléatoire de 20 caractères. Mais si cest votre seul objectif, vous manquez le point de WPA Enterprise. Le principal pilote de WPA Enterprise est le contrôle granulaire que vous pouvez avoir sur qui ou quoi se connecte à votre réseau. WPA Enterprise peut créer des informations didentification pour chaque appareil et utilisateur. Si vous devez soudainement supprimer un utilisateur ou une catégorie dappareils (par exemple, les téléphones portables), vous pouvez le faire. Bien sûr, en le mettant en place, si vous bousillez limplémentation en utilisant quelque chose comme LEAP, vous laissez simplement ces personnes / choses que vous détournez à la porte dentrée par la porte arrière. À moins que vous nayez le budget, les ressources et les besoins pour WPA Enterprise, WPA2-PSK sera plus facile, moins cher et probablement plus sécurisé. Les trois mises en garde: un mot de passe suffisamment complexe que vous modifiez occasionnellement, vous navez pas besoin de contrôle spécifique à lutilisateur ou à lappareil, et le plus important – désactivez ce WPS (Wifi Protected Access) totalement stupide qui vient sur certains points daccès.

Ce nest pas le cas. WPA-Enterprise et WPA-PSK créeront finalement une clé PTK à utiliser dans lalgorithme TKIP, car elle est WPA , donc moins sécurisé que WPA2, que ce soit WPA2-PSK ou WPA2-Enterprise.

Enterprise propose uniquement le chiffrement pour la négociation à 4 voies, comme PEAP, ou lutilisation de certificats, de sorte que WPA-Enterprise est sans doute plus sécurisé que WPA-PSK mais rencontrera finalement le même sort. Enterprise offre également une plus grande granularité sur les personnes qui accèdent au réseau en utilisant des comptes dutilisateurs ou des informations de clé pré-partagées par utilisateur à partir de RADIUS ou finalement dActive Directory pour le matériel à utiliser dans la génération de clé CCMP.