Waarom is WPA Enterprise veiliger dan WPA2?

De PSK-varianten van WPA en WPA2 gebruiken een 256-bits sleutel die is afgeleid van een wachtwoord voor authenticatie.

De Enterprise-varianten van WPA en WPA2, ook bekend als 802.1x gebruikt een RADIUS-server voor authenticatiedoeleinden. Authenticatie wordt bereikt met behulp van varianten van het EAP -protocol. Dit is een complexere maar veiligere installatie.

Het belangrijkste verschil tussen WPA en WPA2 is het gebruikte versleutelingsprotocol. WPA gebruikt het TKIP -protocol, terwijl WPA2 ondersteuning introduceert voor het CCMP -protocol.

Reacties

• Dus als je een RADIUS-server gebruikt, wordt een EAP-protocol gebruikt in plaats van TKIP of CCMP?
• @ Unw0und Nee, EAP is een authenticatie protocol, terwijl TKIP en CCMP een encryptie protocol is.
• Dit antwoord is niet ‘ t erg informatief. Hoe is EAP “veiliger”? Beschermt het tegen meer bedreigingen of biedt het meer kracht tegen brute kracht? Welk verschil maakt TKIP versus CCMP?
• EAP is veiliger omdat het sleutelmateriaal uniek is en wordt gemaakt tussen client en AP in plaats van gegenereerd op basis van een bekende waarde (PSK). In de persoonlijke modus wordt het sleutelmateriaal gegenereerd op basis van een bekende waarde (de PSK) en iedereen met die bekende waarde kan de sleutelonderhandeling vastleggen en daarom al het resulterende verkeer ontsleutelen. Bovendien kan met EAP het sleutelmateriaal tijdens de sessie worden gewijzigd, waardoor het veiliger wordt.
• WPA2 Personal gebruikt één sleutel. Iedereen met de sleutel weet hoe het verkeer van uw computer ‘ moet worden ontsleuteld. Het WiFi-segment is één groot uitzendnetwerk. Bekabelde netwerken zullen over het algemeen het verkeer van uw computer ‘ privé houden zolang de switches beveiligd zijn. Uw verkeer gaat langs de draad en wordt alleen op de bestemming overgedragen. Zelfs iemand die op een andere aansluiting is aangesloten, kan ‘ het verkeer niet zien, tenzij de schakelaar niet correct is ingesteld. WPA Enterprise geeft elke gebruiker zijn eigen persoonlijke sessiesleutel. Dit verwijdert het uitzendingseffect. Nu gedraagt het wifi-netwerk zich alsof iedereen zijn eigen kabel heeft.

Bij alle eerdere antwoorden ontbreekt een zeer belangrijke stap en de implicatie ervan, en begrijpen EAP niet.

WPA2-PSK (ook bekend als WPA2 Personal) doet in principe hetzelfde als WPA2-Enterprise vanuit het perspectief van de klant: de client associeert zich met het toegangspunt, verifieert zich bij de toegangspunt met behulp van de vooraf gedeelde sleutel en het toegangspunt maakt een 256-bits PMK (paarsgewijze hoofdsleutel) van de SSID en de vooraf gedeelde sleutel (PSK). Deze PMK wordt vervolgens gebruikt om het dataverkeer te versleutelen met CCMP / AES of TKIP.

Het belangrijkste om hier op te merken is dat alle klanten hun gegevens altijd met dezelfde PMK zullen versleutelen. Het is dus gemakkelijk om veel gegevens te verzamelen die zijn versleuteld met dezelfde PMK. Mocht iemand de PMK breken, dan kunnen ze alle gegevens ontsleutelen die zijn versleuteld met die sleutel, in het verleden / opgenomen en in de toekomst / realtime.

WPA2- Enterprise is maar een klein beetje anders achter de schermen, maar de beveiligingsimplicaties zijn ernstig: de client associeert zich met het access point, authenticeert zich bij het access point, die dit doorgeeft aan een backend RADIUS-server (met behulp van EAP, maar dat is niet belangrijk hier, dus daarover aan het einde meer). Wanneer de RADIUS-server de client heeft geverifieerd, geeft het het toegangspunt een OK, plus een RANDOM 256-bits paarsgewijze hoofdsleutel (PMK) om het gegevensverkeer alleen voor de huidige sessie te versleutelen.

Nou, dat is nogal een verschil. In plaats van dat elke client de hele tijd dezelfde PMK gebruikt (waarvan het zaad bekend is als leesbare tekst, omdat de SSID als zaad wordt gebruikt!), Gebruikt elke client nu een andere PMK, het verandert elke sessie / associatie en het zaad is willekeurig en onbekend. Niet alleen dat, maar deze PMK zal 256-bits echte entropie zijn (geen hash van een meestal veel kleiner wachtwoord dat woorden bevat), dus woordenboekaanvallen zijn nutteloos.

Mocht iemand een bepaalde PMK breken, dan krijgen ze slechts toegang tot één sessie van één cliënt. Ook (als de juiste EAP-methode wordt gebruikt) krijgen ze geen toegang tot de inloggegevens van de gebruikers, aangezien deze individueel zijn versleuteld. Dat is een stuk veiliger.

Onthoud ook dat deze PMK 256-bits AES is , dit is momenteel “niet te kraken” (128bit wordt voorlopig als veilig beschouwd, maar niet voor lang). Het feit dat de PMK van WPA2-PSK (ook 256bit) kan worden gekraakt, komt door de doorgaans zwakke wachtwoorden (woordenboekaanval), het bekende zaad (SSID) en het feit dat alle clients dezelfde PMK gebruiken de hele tijd, zodat veel cijfertekst van bekende platte tekst kan worden vastgelegd.

En dan nog een beetje over het Extensible Authentication Protocol (EAP). Dit wordt op zichzelf vaak gezien als een beveiligingsprotocol, maar dat is het niet. Het is in feite een standaard voor het doorgeven van berichten van een client die zich wil authenticeren en een server die authenticeert. EAP zelf heeft geen beveiligingsfuncties, het specificeert alleen hoe de client met de RADIUS-server spreekt.

Nu kunt u deze EAP-berichten in een beveiligde tunnel inkapselen. Net zoals HTTP (een onveilig berichtenprotocol) over een beveiligde laag gaat, SSL / TLS, om een veilige verbinding met een webserver op te leveren. Iemand zei in een ander antwoord dat er meer dan 100 verschillende EAP-“methoden” zijn, sommige erg onzeker. Dit is waar, omdat EAP oud is, waren er coderingsstandaarden geïmplementeerd die tegenwoordig niet aan de normen voldoen.

Maar in de praktijk, als u recente Apple- of Android-machines / apparaten en Windows-machines moet ondersteunen, is er slechts twee opties, omdat andere gewoon niet worden ondersteund: Protected EAP (PEAP) en TLS-EAP (nou, ik loog: er zijn er echt nog een paar, maar ze zijn in principe identiek aan TLS-EAP in functionaliteit en beveiliging).

PEAP is net als een https-server, er wordt een beveiligde TLS-tunnel opgezet tussen de client en de RADIUS-server (beschermt het volledige draadloze en bedrade pad ertussen), de server presenteert een certificaat aan de client (in bedrijven vaak ondertekend door hun eigen CA) en een beveiligd kanaal wordt opgezet op basis van dit certificaat.

Als de klant de CA als vertrouwd heeft in zijn certificaatarchief, stuurt deze zijn gebruikersnaam en wachtwoord naar de RADIUS-server. de CA wordt niet vertrouwd, de gebruiker krijgt een waarschuwing over het certificaat zoals bij een https-site die iets heeft ng verkeerd met zijn certificaat. De inloggegevens worden meestal beschermd met het (oude en nu zwakke) MSCHAPv2-protocol, maar dat maakt niet uit, aangezien alles al wordt beschermd door 256-bits TLS. Het MSCHAPv2-protocol communiceert met de RADIUS-server via EAP.

Een duidelijk zwak punt is dat u een vals toegangspunt kunt instellen, een vals certificaat kunt presenteren waarvan u de privésleutel heeft, en hopen dat een of andere idiote gebruiker een waarschuwing krijgt over een niet-vertrouwd certificaat en gewoon op vertrouwen klikt (en die optie is niet uitgeschakeld door een beheerder). Dan zou je misschien de zwak gecodeerde inloggegevens van de cliënt kunnen vastleggen die redelijk gemakkelijk te kraken zijn (ik weet het niet zeker, aangezien ik weet dat MSCHAPv2 gemakkelijk kan worden gekraakt als je de GEHELE uitwisseling hebt, in in dit geval zou je “alleen de client-kant hebben, aangezien je geen geldige nonce naar de client zou kunnen sturen om de uitwisseling te voltooien, omdat je niet de echte hash van het gebruikerswachtwoord hebt).

Terwijl dit kan je toegang geven tot het echte netwerk met veel werk (en ik betwijfel het, maar als je het moet weten, kijk dan naar MSCHAPv2 op http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), het zou je geen toegang geven tot andere draadloze gegevens, aangezien ze zijn versleuteld met een andere PMK.

Maar voor bedrijven kan dit nog steeds een probleem zijn. Voer TLS-EAP in. TLS-EAP is in principe hetzelfde als PEAP met het opmerkelijke verschil dat de klant ook een certificaat heeft. Dus de server presenteert zijn certificaat aan de client die door de client moet worden vertrouwd (omdat de CA in de vertrouwde winkel is, of een idioot op “trust” heeft geklikt), maar de client moet ook een certificaat aan de server presenteren. Dit kan een certificaat zijn dat in de cert store is geplaatst toen het apparaat / werkstation werd ingericht, maar het kan ook afkomstig zijn van een smartcard enz. De server moet dit clientcertificaat vertrouwen, anders krijg je de kans niet eens om inloggegevens te presenteren.

Zoals velen van u wellicht weten, kan een dergelijke 2-weg authenticatie ook worden gedaan voor HTTP via TLS, maar dit wordt niet vaak gezien buiten de bedrijfsinstellingen. Ook in dat geval heb je geen toegang tot de website tenzij je eerst een certificaat laat zien dat door de server wordt vertrouwd.

Dus nu is het nep-toegangspunt niet erg handig meer. > kan de zwak versleutelde inloggegevens krijgen als de idioot op “vertrouwen” klikt en je vervolgens blindelings een clientcertificaat accepteert, maar aangezien je de privésleutel van het clientcertificaat niet hebt, krijg je geen toegang tot de draadloze netwerk, noch krijg je versleutelde draadloze gegevens van deze of andere clients nog steeds met dank aan de willekeurige sessie-gebaseerde PMK.Je krijgt misschien toegang tot een intranet met de inloggegevens, maar als ze de moeite hebben genomen om een CA voor draadloos op te zetten, hebben ze daar waarschijnlijk ook een clientcertificaat voor nodig.

In bedrijven is het gebruikelijk om dergelijke een clientcertificaat op een smartcard, die werknemers vervolgens nodig hebben om toegang te krijgen tot alle bronnen: inloggen, netwerkbronnen, e-mail met smtps, imaps, pop3s, intranetten met https, alles dat TLS gebruikt, kan worden ingesteld om een clientcertificaat te vereisen. “is zo simpel als het invoeren van het toetsenbord en het invoeren van een pincode, waarna Windows het zal presenteren wanneer daarom wordt gevraagd door een vertrouwde server met TLS.

Dus, ik hoop dat dit een beetje. De schaal luidt: “in wezen onbeveiligd” (WEP) “kraakbaar met enige moeite” (WPA2-PSK) “gedeeltelijk sociaal bewerkbaar” (WPA2-Enterprise met PEAP) “momenteel beveiligd” (WPA2-Enterprise met TLS-EAP en vergelijkbaar)

Er zijn manieren om WPA2-PSK ietwat veiliger te maken, in die zin dat het maanden zou duren om het te kraken in plaats van minuten (vooraf berekende regenboogtabellen) of uren (woordenboekaanval): Stel uw SSID in naar een willekeurige string van de maximale lengte (64 denk ik), aangezien deze wordt gebruikt als het zaad voor de PMK, en gebruiken een willekeurige pre-shared key (PSK) met de maximale lengte. je verandert dan maandelijks de sleutel, je kunt er redelijk zeker van zijn dat niemand een huidige PMK heeft of toegang had / heeft tot je netwerk.

Hoewel je er niet van af kunt komen dat iemand een maand had kunnen bewaren waarde van gegevens van alle klanten en leest dat als ze eenmaal de PMK van die maand hebben gekregen (wat kan worden gedaan, aangezien het geen sleutel is met 256-bits echte entropie terwijl je het gebruikte zaad opnieuw uitzendt).

Een ander nadeel is dat je zult hebben een zeer unieke SSID, een die uw draadloze apparaten zullen uitzenden, waar u ook bent. Als iemand uw unieke SSID van uw thuisnetwerk heeft, is het “een fluitje van een cent om uw SSID op te zoeken op https://wigle.net/ en ontdek waar je woont. Dus je loopt in feite rond met je telefoon / tablet / laptop en kondigt aan waar je woont …

Als je privacybewust bent, is dit misschien een goede tussenweg om houd je SSID op een standaard ingesteld, maar niet in de top 30 of zo (op die manier is het onwaarschijnlijk dat er regenboogtabellen online beschikbaar zijn) en gebruik een willekeurige PSK van maximale lengte. Je verliest echter wat entropie.

Als je dezelfde beveiliging wilt als bedraad, gebruik dan WPA2-Enterprise met TLS-EAP. (Nou, voor nu … Er is niets dat iemand ervan weerhoudt om alle gewenste gegevens vast te leggen en op te slaan en alles te ontsleutelen in 20 jaar als we allemaal tijd kunnen huren op een kwantumcomputer en alle sleutels in minuten kunnen ontbinden.

De NSA zou een datacenter hebben gebouwd om precies dat te doen, alles wat versleuteld is dat ze tegenkomen op te slaan totdat ze het kunnen kraken, zodat dat probleem ook van invloed is op alles op draden als het het internet kruist. Als iets veilig moet zijn voor gebruik altijd een willekeurige eenmalige pad die je out-of-band uitwisselt 🙂

Dat gezegd hebbende, terwijl ik paranoïde ben en de beste beveiliging wil en dus twee dagen besteed aan het maken van WPA2-Enterprise / TLS-EAP-werk, dit is waarschijnlijk buiten bereik (en overdreven) voor de meeste thuisgebruikers. Als je nog geen domeincontroller of een andere directoryservice op je netwerk hebt, ervaring hebt met RADIUS en alle dure professionele wifi-apparatuur hebt die een onderneming zou gebruiken, dan zul je het waarschijnlijk niet krijgen werken. Je zou beter af zijn als je gewoon een always-on VPN instelt en die over je wifi laat lopen, dat geeft je alle veiligheid en geen van de leuke debugging EAP.

PS. Voor de eenvoud wil ik liet ook weg dat de communicatie tussen het toegangspunt en de RADIUS-server ook wordt versleuteld door een vooraf gedeelde sleutel (het “gedeelde geheim” genoemd). Afaik deze versleuteling is vandaag niet goed (gebruikt MD5, die in feite is verbroken ) maar aangezien je er toch TLS overheen zet, doet dat er niet toe. Je kunt een behoorlijke sleutelgrootte gebruiken (iets tussen 64-128 tekens = 512-1024 bits afhankelijk van de implementatie). Ik stel altijd het grootst mogelijke geheim in, het kan wel ” t doet pijn.

Reacties

• Het voor de hand liggende zwakke punt dat u presenteert is vergelijkbaar met het zwakke punt van online winkelen – een of andere idiote gebruiker kan zijn creditcard verstrekken details zonder een groen slotje bij de URL te zien of een rood gebroken slot te zien. Maar ik vraag me af over iets anders. Wat gebeurt er als de aanvaller een TLS-certificaat koopt voor een domein dat hij bezit en een rouge CA instelt en dit certificaat presenteert voor de malafide RADIUS-server die hij heeft ingesteld? Klinkt als dit zou ‘ niet moeten werken, maar ik zie ‘ niets in je beschrijving dat dit verhindert, en in tegenstelling tot surfen op internet waar je zelfs een geldig certificaat voor www.g00gle.com zou u kunnen doen vermoeden …
• u ‘ niet de URL van de RADIUS-server ziet u ‘ waar mee wordt gesproken (althans niet in Windows, iOS en Android).
• De CA zou moeten overeenkomen met de client ‘ s cert, zodat ‘ niet zou werken.
• Ik was niet ‘ op de hoogte van clientcertificaten die in het spel waren in PEAP-MS-CHAPv2. Ik zie zelfs een TechNet-artikel waarin staat ” PEAP-MS-CHAP v2, een EAP-type dat gemakkelijker te implementeren is dan Extensible Authentication Protocol met Transport Level Security (EAP-TLS) of PEAP-TLS omdat gebruikersauthenticatie wordt bereikt door inloggegevens op basis van een wachtwoord (gebruikersnaam en wachtwoord) te gebruiken in plaats van digitale certificaten of smartcards. ” Over welk clientcertificaat heb je het?
• conio: Juist, in PEAP-clients hebben ‘ geen certificaten (alleen de server heeft dat, maar gebruikersnaam / wachtwoord (waarmee de creds kunnen worden vastgelegd wanneer een MITM AP wordt ingesteld). Ik zei dat EAP-TLS clientcertificaten aan de mix had toegevoegd om dit te voorkomen.

Stel dat je er 10 hebt gebruikers. In de PSK-modus gebruiken alle 10 gebruikers dezelfde wachtwoordzin om dezelfde sleutel te genereren. Daarom is de kans groter dat verkeer wordt opgevangen en geanalyseerd om de sleutel te vinden bij zo veel verkeer, en die sleutel wordt od totdat alle 10 gebruikers akkoord gaan om de wachtwoordzin (en dus de sleutel) te wijzigen

Als diezelfde 10 gebruikers hun eigen gebruikersnaam en wachtwoord gebruiken om in te loggen op een WiFi-bedrijfsnetwerk, authenticeert elke gebruiker zich bij de RADIUS-server , die vervolgens een sleutel voor hun sessie genereert en die aan de AP overhandigt voor gebruik met hun client.

Daarom is het verkeer met dezelfde sleutel slechts één gebruikersverkeer, dus het is 1/10 van de hoeveelheid gegevens om mee te werken, en de sleutel zal veranderen de volgende keer dat de gebruiker inlogt. Het wachtwoord van de gebruiker authenticeert met kan hetzelfde blijven, maar de sleutel die wordt gegenereerd, is uniek voor elke sessie. In combinatie met goede wachtwoordgewoonten is WPA-enterprise beter. Bovendien kan de toegang van individuele gebruikers op elk moment worden ingetrokken zonder dat dit andere gebruikers beïnvloedt.

Reacties

• ” de toegang van individuele gebruikers kan op elk moment worden ingetrokken zonder andere gebruikers te beïnvloeden ” Ik wist ‘ dat niet. Bedoel je dat ze in realtime kunnen worden ingetrokken? Als dat het geval is, wat zou de gebruiker dan zien? Gewoon een verbroken verbinding en wanneer probeert verbinding te maken met zijn wachtwoord een foutmelding? Als mijn RADIUS-server is verbonden met een SQL-database en ik verwijder een gebruiker, wordt deze gebruiker dan in realtime verwijderd? Heel erg bedankt voor de verduidelijking.

WPA2 is veiliger dan WPA, zoals uitgelegd door Terry. U hoeft alleen het verschil te begrijpen tussen persoonlijke (vooraf gedeelde sleutel) en bedrijfsversies van beide protocollen.

De persoonlijke versie is waar alle gebruikers een geheim wachtwoord delen dat is geconfigureerd in het toegangspunt. In de enterprise-versie is er een centrale authenticatieserver en alle gebruikers hebben verschillende sets inloggegevens die ze gebruiken om toegang te krijgen tot wifi. Dus eigenlijk is er niet één gedeeld wachtwoord.

De Enterprise (RADIUS / EAP / 802.1X) -modus van WPA of WPA2 biedt de volgende voordelen ten opzichte van het gebruik van de persoonlijke (Pre-Shared Key of PSK) -modus van WPA of WPA2:

• Over het algemeen bemoeilijkt het het proces van het “hacken” van de draadloze verbinding.
• Aan elke gebruiker kan een unieke inloggegevens worden toegewezen (gebruikersnaam of wachtwoord, beveiligingscertificaten of smartcard) voor de wifi, in plaats van een enkel algemeen wachtwoord voor iedereen.
• Snuffelen tussen gebruiker en gebruiker wordt voorkomen, in tegenstelling tot de persoonlijke modus waarin verbonden gebruikers elkaars verkeer kunnen vastleggen, inclusief wachtwoorden en sessie-kaping.
• Maakt aanvullende controles (autorisaties) mogelijk, zoals inlogtijd, zodat u de exacte dagen en keer dat gebruikers kunnen inloggen, Called-Station-ID om aan te geven via welke toegangspunten ze verbinding kunnen maken, en Calling-Station-ID om aan te geven vanaf welke clientapparaten ze verbinding kunnen maken.

Hoewel de De Enterprise-modus vereist het gebruik van een RADIUS-server, er zijn gehoste of cloudservices beschikbaar.

Er worden hier veel termen door elkaar gehaald.

WPA2 is een coderingsschema. De onderneming versus persoonlijk verwijzen naar het authenticatieschema, maar niet naar het versleutelingsschema. Het authenticatieschema verifieert in feite uw identiteit aan de netwerkeigenaar voordat u gecodeerde gegevens mag verzenden.

Vanuit het oogpunt van versleuteling hebben WPA2-Enterprise en WPA2-Personal hetzelfde 256-bits versleutelingsalgoritme (I geloof dat het AES-CCMP wordt genoemd). Het verschil tussen beide ligt dus in het authenticatieschema.

Nu kunnen EAP en 802.1x worden gezien als één en hetzelfde protocol. Ze definiëren signaleringsmethoden om de authenticatie mogelijk te maken tussen (dit is nu belangrijk): de client, het toegangspunt en een derde entiteit, de registrar genaamd, die de authenticatiegegevens opslaat.EAP wordt gebruikt in Personal en Enterprise MAAR het belangrijkste verschil is de locatie en het type inloggegevens dat de registrar van de klant nodig heeft voordat hij ermee instemt hem toegang tot het netwerk te verlenen. In PERSOONLIJK is het gebruikelijk dat de registrar zich op dezelfde fysieke entiteit bevindt als het toegangspunt (dwz draadloze router) en de verificatiemethode is meestal gebaseerd op een vooraf gedeelde sleutel (bijvoorbeeld degene die is voorgeprogrammeerd met de router). wanneer je het koopt of degene die de eigenaar van de router je zou geven als je bij hem thuis komt). Het wijzigen van die vooraf gedeelde sleutel vereist een algemene update wanneer een van de oude clients weer toegang tot het netwerk wil krijgen (d.w.z. u moet hen vertellen dat u de sleutel hebt gewijzigd en dat de sleutel XYZ is). In ENTERPRISE is de registrar meestal een aparte entiteit die het protocol RADIUS gebruikt. Het biedt meer beheerbaarheid (bijv. Een vooraf gedeelde sleutel voor elke gebruiker, de beheerder kan een sleutel intrekken voor een bepaalde gebruiker, enz.).

Nu iets heel belangrijks hier (vanuit een veiligheidsoogpunt), de coderingssleutel (dwz niet de authenticatie) is afgeleid van de vooraf gedeelde sleutel, dus het is gemakkelijker voor iemand die de vooraf gedeelde authenticatiesleutel in PERSONAL heeft om de coderingssleutel opnieuw te creëren en zo de gegevens te decoderen. Bovendien maakt PERSONAL andere methoden mogelijk om het invoeren van een vooraf gedeelde sleutel verder te vereenvoudigen, zoals de drukknop (drukknop op routher en apparaat tegelijkertijd en alles gebeurt naadloos). Deze methode bracht de veiligheid in gevaar als iemand op het kanaal aan het luisteren was en bleek gemakkelijk te breken (nu is de term gemakkelijk relatief !!). Een dergelijke methode is niet beschikbaar in Enterprise. Samengevat is ja Enterprise dus veiliger maar ook geschikter voor iemand die de kennis en middelen heeft om een RADIUS server te installeren en te beheren. Een goede beveiliging is haalbaar via PERSOONLIJK door een sterke, vooraf gedeelde sleutel te kiezen en de drukknopmethode op de draadloze router uit te schakelen.

Ik neem aan dat als je vraagt of WPA-Enterprise veiliger is dan WPA2, je WPA2-PSK (ook bekend als WPA-Personal) bedoelt. Dit is een beetje zoals vragen of groenten gezonder zijn dan een appel. WPA-Enterprise dekt een spectrum van authenticatiemethoden (ongeveer 100 van hen allemaal onder het uitbreidbare authenticatieprotocol), sommige erg sterk, andere erg zwak. WPA2-PSK is een specifiek authenticatiemiddel dat vertrouwt op 256-bits AES. De enige haalbare manier om WPA2-PSK te doorbreken, is door de handshakepakketten vast te leggen en er vervolgens een woordenboekaanval tegen uit te voeren. Het maakt niet uit hoeveel handshakes je vastlegt (dat wil zeggen of het één client is of 100 die verbinding maakt met het wachtwoord). Het is niet zoals WEP. Dus als je een goed wachtwoord hebt (bijvoorbeeld 20 tekens en redelijk willekeurig), zal het behoorlijk veilig zijn. Ter vergelijking: WPA-Enterprise kan zwakke schemas gebruiken, zoals LEAP, dat de MS-CHAPv2-handshakes gebruikt. Dit zijn slechts 56-bits DES-codering, gemakkelijk te kraken met brute kracht, ongeacht de complexiteit van wachtwoorden. Nu kunt u onder de 100 EAP-opties, die variëren in kosten en complexiteit, iets vinden dat de sterkte van een WPA2-PSK met een willekeurig wachtwoord van 20 tekens zou benaderen. Maar als dat uw enige doel is, mist u het punt van WPA Enterprise. De belangrijkste driver voor WPA Enterprise is de gedetailleerde controle die u kunt hebben over wie of wat verbinding maakt met uw netwerk. WPA Enterprise kan inloggegevens voor elk apparaat en elke gebruiker maken. Als u ineens één gebruiker of een categorie apparaten (bijv. Mobiele telefoons) moet verwijderen, kunt u dat doen. Als je bij het opzetten ervan de implementatie verprutst door zoiets als LEAP te gebruiken, laat je die mensen / dingen die je bij de voordeur wegdraait gewoon door de achterdeur naar binnen. Tenzij u over het budget, de middelen en de behoefte beschikt voor WPA Enterprise, zal WPA2-PSK eenvoudiger, goedkoper en waarschijnlijk veiliger zijn. De drie kanttekeningen: een voldoende complex wachtwoord dat u af en toe wijzigt, u heeft geen gebruikers- of apparaatspecifieke controle nodig, en het belangrijkste – schakel die volkomen stomme Wifi Protected Access (WPS) uit die op sommige toegangspunten wordt geleverd.

Dat is het niet. WPA-Enterprise en WPA-PSK zullen uiteindelijk een PTK-sleutel maken om te gebruiken in het TKIP-algoritme, omdat het is WPA , dus minder veilig dan WPA2, of het nu WPA2-PSK of WPA2-Enterprise is.

Enterprise biedt alleen encryptie voor de 4-way handshake, zoals PEAP, of het gebruik van certificaten, dus WPA-Enterprise is aantoonbaar veiliger dan WPA-PSK, maar zal uiteindelijk hetzelfde lot ondergaan. Enterprise biedt ook een grotere granulariteit over wie toegang heeft tot de netwerk door gebruikersaccounts of vooraf gedeelde sleutelinformatie per gebruiker van RADIUS of uiteindelijk Active Directory te gebruiken voor materiaal dat kan worden gebruikt bij het genereren van CCMP-sleutels.