De ce este WPA Enterprise mai sigur decât WPA2?

Variantele PSK ale WPA și WPA2 utilizează o cheie de 256 de biți derivată dintr-o parolă pentru autentificare.

Variantele Enterprise ale WPA și WPA2, cunoscute și sub numele de 802.1x folosește un server RADIUS în scopuri de autentificare. Autentificarea se realizează utilizând variante ale protocolului EAP . Aceasta este o configurare mai complexă, dar mai sigură.

Diferența cheie între WPA și WPA2 este protocolul de criptare utilizat. WPA folosește protocolul TKIP în timp ce WPA2 introduce suport pentru protocolul CCMP .

Comentarii

• Deci, atunci când utilizați un server RADIUS, va fi utilizat un protocol EAP în loc de TKIP sau CCMP?
• @ Unw0und Nu, EAP este un protocol autentificare în timp ce TKIP și CCMP este un protocol criptare .
• Acest răspuns nu este ‘ t foarte informativ. Cum este EAP „mai sigur”? Protejează împotriva mai multor amenințări sau oferă o forță mai mare împotriva forței brute? Ce diferență face TKIP vs CCMP?
• EAP este mai sigur, deoarece materialul de tastare este unic și creat între client și AP, mai degrabă decât generat pe baza unei valori cunoscute (PSK). În modul personal, materialul de tastare este generat pe baza unei valori cunoscute (PSK) și oricine are valoarea cunoscută este capabil să capteze negocierea cheie și deci să decripteze tot traficul rezultat. În plus, cu EAP, materialul de tastare poate fi schimbat în timpul sesiunii, făcându-l mai sigur.
• WPA2 Personal folosește o cheie. Toată lumea cu cheia știe cum să decripteze traficul computerului ‘. Segmentul WiFi este o rețea de difuzare mare. Rețelele cablate vor menține, în general, traficul computerului ‘ privat atât timp cât comutatoarele sunt securizate. Traficul dvs. merge de-a lungul firului și este predat doar la destinație. Chiar și cineva conectat la o altă mufă nu poate ‘ să vadă traficul decât dacă comutatorul nu este configurat corect. WPA Enterprise oferă fiecărui utilizator propria cheie de sesiune privată. Aceasta elimină efectul de difuzare. Acum, rețeaua WiFi se comportă ca și cum fiecare ar avea propriul fir.

Toate răspunsurile anterioare lipsesc pas important și implicațiile sale și sunt neînțelegerea EAP.

WPA2-PSK (cunoscut și sub numele de WPA2 Personal) face practic același lucru ca WPA2-Enterprise din perspectiva clienților: clientul se asociază la punctul de acces, se autentifică la punctul de acces utilizând cheia pre-partajată și punctul de acces creează un PMK de 256 biți (cheie masteră în perechi) din SSID și cheia pre-partajată (PSK). Acest PMK este apoi utilizat pentru a cripta traficul de date folosind CCMP / AES sau TKIP.

Important este de remarcat aici că toți clienții își vor cripta întotdeauna datele cu același PMK, tot timpul. Așadar, este ușor să aduni o mulțime de date criptate cu același PMK. Dacă cineva sparge PMK, ar putea decripta toate datele criptate cu acea cheie, trecut / înregistrat și viitor / realtime.

WPA2- Întreprinderea este puțin diferită în culise, dar implicațiile de securitate sunt severe: clientul se asociază la punctul de acces, se autentifică la punctul de acces, care transmite acest lucru unui server RADIUS backend (utilizând EAP, dar asta nu este important aici, deci mai multe despre asta la sfârșit). Când serverul RADIUS a autentificat clientul, acesta dă punctului de acces un OK, plus o RANDOM cheie pereche (PMK) de 256 biți pentru a cripta traficul de date numai pentru sesiunea curentă.

Ei bine, asta este o diferență. În loc ca fiecare client să folosească tot timpul același PMK (a cărui semință este cunoscută în text clar, deoarece SSID este folosit ca semință!), Acum fiecare client folosește un PMK diferit, se schimbă fiecare sesiune / asociere și semințele sunt aleatorii și necunoscute. Nu numai asta, dar acest PMK va fi entropie reală pe 256 de biți (nu un hash dintr-o parolă de obicei mult mai mică care conține cuvinte), deci atacurile din dicționar sunt inutile.

În cazul în care cineva întrerupe un anumit PMK, are acces doar la o sesiune a unui singur client. De asemenea (dacă se utilizează metoda EAP corectă) nu au acces la acreditările utilizatorilor, deoarece acestea au fost criptate individual. Asta este mult mai sigur.

Rețineți, de asemenea, că acest PMK are 256 AES AES , acest lucru este în prezent „nerecuperabil” (128 de biți sunt considerați siguri pentru moment, dar nu pentru mult timp). Faptul că PMK-ul WPA2-PSK (de asemenea, pe 256 de biți) poate să fie spart provine din parolele de obicei slabe (atac de dicționar), din semința cunoscută (SSID) și din faptul că toți clienții folosesc același PMK tot timpul, astfel încât o mulțime de text cifrat de text clar cunoscut poate fi capturat.

Deci, apoi un pic despre Extensible Authentication Protocol (EAP). Acest lucru este adesea înțeles ca un protocol de securitate în sine, dar nu este „t. Este practic un standard pentru transmiterea mesajelor de la un client care dorește să se autentifice și un server care autentifică. EAP în sine nu are caracteristici de securitate, specifică doar modul în care clientul vorbește cu serverul RADIUS.

Acum, puteți încapsula aceste mesaje EAP într-un tunel securizat. La fel ca HTTP (un protocol de mesagerie nesigur) trece peste un strat sigur, SSL / TLS pentru a obține o conexiune sigură la un server web. Cineva a spus într-un alt răspuns că există peste 100 de „metode” EAP diferite, unele foarte nesigure. Acest lucru este adevărat, deoarece EAP este vechi, au existat standarde de criptare implementate, care sunt sub-standarde astăzi.

Dar, în practică, dacă trebuie să acceptați mașinile / dispozitivele recente Apple sau Android și mașinile Windows, există doar două opțiuni, pentru că altele pur și simplu nu sunt acceptate: EAP protejat (PEAP) și TLS-EAP (ei bine, am mințit: chiar mai sunt câteva, dar ele sunt practic identice cu TLS-EAP în ceea ce privește funcționalitatea și securitatea).

PEAP este la fel ca un server https, un tunel TLS securizat este configurat între client și serverul RADIUS (protejând întreaga cale fără fir și cablată între ei), serverul prezintă un certificat clientului (în companii deseori semnat de propria CA) și un canal sigur este configurat pe baza acestui certificat.

Dacă clientul are CA ca fiind de încredere în depozitul de certificate, acesta își trimite numele de utilizator și parola către serverul RADIUS. Dacă CA nu este de încredere, utilizatorul primește un avertisment cu privire la certificat ca la un site https care are ceva greșit cu certificatul său. Acreditările sunt de obicei protejate cu protocolul MSCHAPv2 (vechi și acum slab), dar asta nu contează, deoarece totul este deja protejat de 256 biți TLS. Protocolul MSCHAPv2 vorbește cu serverul RADIUS folosind EAP.

Un punct slab evident este că ai putea configura un punct de acces fals, să prezinți un certificat fals al căruia ai cheia privată și să speri că un utilizator idiot primește un avertisment cu privire la un certificat de încredere și face doar clic pe „încredere” (și această opțiune este nu este dezactivat de un administrator). Apoi ați putea capta acreditările slab criptate ale clientului, care sunt destul de ușor de spart (nu sunt sigur despre acest lucru, deoarece știu că MSCHAPv2 poate fi ușor de spart dacă aveți întregul schimb, în în acest caz, nu veți avea decât partea clientului, deoarece nu ați putea trimite un nonce valabil către client pentru a finaliza schimbul, deoarece nu aveți hash-ul real al parolei utilizatorilor).

În timp ce acest poate vă oferă acces la rețeaua reală cu multă muncă (și mă îndoiesc, dar dacă trebuie să știți, căutați în MSCHAPv2 la http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), nu vă va oferi acces la orice altă conexiune wireless date, deoarece acestea sunt criptate cu un PMK diferit.

Dar pentru companii, aceasta poate fi încă o problemă. Introduceți TLS-EAP. TLS-EAP este practic același cu PEAP, cu diferența notabilă că clientul are și un certificat. Deci, serverul prezintă certificatul său clientului, care trebuie să fie de încredere de către client (deoarece CA se află în magazinul de încredere sau un idiot a dat clic pe „încredere”), dar clientul trebuie să prezinte și un certificat serverului. Acesta poate fi un certificat care a fost plasat în magazinul de certificări atunci când dispozitivul / stația de lucru a fost aprovizionat, dar ar putea fi, de asemenea, dintr-o cartelă inteligentă etc. pentru a prezenta acreditări.

După cum știți mulți dintre voi, o astfel de autentificare bidirecțională se poate face și pentru HTTP prin TLS, dar acest lucru nu se vede adesea în afara setărilor corporative. Și în acest caz, nu puteți accesa site-ul web decât dacă afișați mai întâi un certificat care are încredere în server.

Deci acum punctul de acces fals nu mai este foarte util. > pot obține acreditările slab criptate dacă idiotul dă clic pe „încredere” și apoi acceptați orbește orice certificat de client, dar din moment ce nu aveți cheia privată a certificatului de client nu aveți acces la wireless rețea și nici nu obțineți date wireless criptate ale acestui client sau ale altor clienți, în continuare prin amabilitatea PMK bazată pe sesiune aleatorie.Este posibil să obțineți acces la un intranet cu acreditări, dar dacă s-au confruntat cu probleme pentru a configura o CA pentru wireless, probabil că vor avea nevoie și de un certificat pentru client.

În corporații este obișnuit să existe un certificat de client pe o cartelă inteligentă, pe care angajații trebuie să-l acceseze apoi la toate resursele: conectare, resurse de rețea, poștă utilizând smtps, imaps, pop3s, intranet folosind https, orice lucru care utilizează TLS poate fi configurat pentru a necesita un certificat de client. „Este la fel de simplu ca să-l introduceți în tastatură și să introduceți un cod PIN, apoi Windows îl va prezenta atunci când este solicitat de un server de încredere care rulează TLS.

pic. Scara este următoarea: „practic nesecurizat” (WEP) „cracabil cu ceva efort” (WPA2-PSK) „parțial inginer social” (WPA2-Enterprise w / PEAP) „în prezent securizat” (WPA2-Enterprise w / TLS-EAP și similar)

Există modalități de a face WPA2-PSK oarecum mai sigur, în sensul că ar dura câteva luni pentru a-l sparge în loc de minute (tabele curcubeu precomputate) sau ore (atac de dicționar): setați SSID-ul la un șir aleatoriu cu lungimea maximă (64 cred), deoarece este folosit ca semință pentru PMK, și utilizează o cheie pre-partajată aleatorie (PSK) cu lungimea maximă. Dacă apoi schimbi cheia lunar, poți fi sigur că nimeni nu are un PMK curent sau nu are / are acces la rețeaua ta.

Deși nu poți scăpa de faptul că cineva ar fi putut stoca câteva luni în valoare de date ale tuturor clienților și citește că, odată ce primesc PMK-ul acelei luni (ceea ce se poate face, deoarece nu este o cheie cu entropie reală pe 256 biți pe măsură ce transmiteți semințele utilizate).

Un alt dezavantaj este că veți avea un SSID extrem de unic, unul pe care dispozitivele dvs. wireless îl vor transmite oriunde ați merge. Dacă cineva are SSID-ul unic al rețelei dvs. de domiciliu, este „o bucată de tort să vă căutați SSID-ul la https://wigle.net/ și aflați unde locuiți. Așadar, practic vă plimbați cu telefonul / tableta / laptopul anunțând unde locuiți …

Dacă sunteți conștient de confidențialitate, este probabil o cale bună spre mijloc mențineți SSID setat la unul care este comun, dar nu în top 30 sau cam așa (așa este puțin probabil să aveți mese curcubeu disponibile online) și utilizați un PSK aleatoriu de lungime maximă. Totuși, pierdeți o anumită entropie.

Dacă doriți aceeași securitate ca și prin cablu, utilizați WPA2-Enterprise cu TLS-EAP. (Ei bine, deocamdată … Nimic nu împiedică pe cineva să capteze și să stocheze toate datele pe care le dorește și să le decripteze în 20 de ani, când toți putem închiria timp pe un computer cuantic și factoriza toate tastele în câteva minute.

Se spune că NSA a construit un centru de date pentru a face exact acest lucru, stochează orice lucru criptat pe care îl întâmpină până când îl pot sparge, astfel încât problema afectează, de asemenea, toate firele dacă traversează internetul. Dacă ceva trebuie să fie sigur pentru tot timpul, utilizați un tampon unic aleatoriu pe care îl schimbați în afara benzii 🙂

Tot ce s-a spus, în timp ce eu sunt paranoic și doresc cea mai bună securitate și, astfel, petrec două zile realizând WPA2-Enterprise / TLS-EAP funcționează, acest lucru nu este probabil la îndemâna (și exagerat) pentru majoritatea utilizatorilor casnici. Dacă nu aveți deja un controler de domeniu sau alt serviciu de directoare în rețeaua dvs., experiența cu RADIUS și are toate echipamentele pro wifi scumpe pe care le-ar folosi o întreprindere, atunci cel mai probabil nu veți obține a munci. Ați fi mai bine doar să configurați un VPN întotdeauna pornit și să îl rulați prin Wi-Fi, ceea ce vă oferă toată securitatea și niciun EAP de depanare distractiv.

PS. Pentru simplitate, eu De asemenea, a exclus faptul că comunicarea dintre punctul de acces și serverul RADIUS este, de asemenea, criptată de o cheie pre-partajată (numită „secretul partajat”). Afaik această criptare nu este bună astăzi (folosește MD5 care este practic defect ) dar din moment ce puneți TLS peste el oricum, asta nu contează. Puteți utiliza o dimensiune decentă a cheii (ceva între 64-128 de caractere = 512-1024bits, în funcție de implementare). Am stabilit întotdeauna cel mai mare secret posibil, poate ” Nu te doare.

Comentarii

• Punctul slab evident pe care îl prezinți este similar cu punctul slab al cumpărăturilor online – un utilizator idiot ar putea furniza cardul său de credit detalii fără a vedea o blocare verde lângă URL sau când este văzută una roșie ruptă. Dar mă întreb despre un alt lucru. Ce se întâmplă dacă atacatorul cumpără un certificat TLS pentru un domeniu pe care îl deține și înființează un CA rouge și prezintă acest certificat pentru serverul RADIUS necinstit pe care l-a configurat? Sunete ca acesta nu ar trebui să ‘ să funcționeze, dar nu ‘ nu văd nimic în descrierea dvs. care să împiedice acest lucru și, spre deosebire de navigarea pe web, un certificat valid pentru www.g00gle.com vă poate face să bănuiți …
• nu ‘ nu vedeți adresa URL a serverului RADIUS pe care vorbesc cu (cel puțin nu în Windows, iOS și Android).
• CA ar trebui să se potrivească cu clientul ‘ Cert, deci nu ar funcționa ‘.
• Nu știam ‘ de toate certificatele clientului în joc în PEAP-MS-CHAPv2. Văd chiar un articol TechNet care spune ” PEAP-MS-CHAP v2 un tip EAP care este mai ușor de implementat decât Protocolul de autentificare extensibil cu securitate la nivel de transport (EAP-TLS) sau PEAP-TLS deoarece autentificarea utilizatorului se realizează utilizând acreditări bazate pe parolă (nume de utilizator și parolă) în locul certificatelor digitale sau a cardurilor inteligente. ” Despre ce certificat de client vorbiți?
• conio: Corect, în clienții PEAP nu ‘ nu au certificate (doar serverul are, dar numele de utilizator / parola (care permite captarea creditelor atunci când este configurat un AP MITM). Am spus că EAP-TLS a adăugat certificate de client la mix pentru a preveni acest lucru.

Spune că ai 10 utilizatori. În modul PSK toți cei 10 utilizatori folosesc aceeași frază de acces pentru a genera aceeași cheie. Prin urmare, probabilitatea de a captura traficul și de a-l analiza pentru a găsi cheia este mai mare cu atât de mult trafic, iar acea cheie va fi go până când toți cei 10 utilizatori sunt de acord să schimbe fraza de acces (și, prin urmare, cheia)

Dacă aceiași 10 utilizatori își folosesc propriul nume de utilizator și parola pentru a se conecta la o rețea WiFi de întreprindere, fiecare utilizator se autentifică pe serverul RADIUS , care apoi generează o cheie pentru sesiunea lor și o transmite către AP pentru a o folosi cu clientul lor.

Prin urmare, traficul cu aceeași cheie este un singur trafic de utilizatori, deci este 1/10 din cât mai multe date cu care să lucreze, iar cheia se va schimba la următoarea conectare a utilizatorului. Parola utilizatorului autentificarea cu poate rămâne aceeași, dar cheia generată de aceasta este unică pentru fiecare sesiune. Combinat cu obiceiuri bune de parolă, WPA enterprise este mai bună. De asemenea, accesul utilizatorilor individuali poate fi revocat oricând fără a afecta alți utilizatori.

Comentarii

• ” accesul utilizatorilor individuali poate fi revocat oricând fără a afecta alți utilizatori ” ‘ nu știam asta. Vrei să spui că pot fi revocate în timp real? Dacă acesta este cazul, ce aș vedea utilizatorul? Doar o deconectare și când încearcă să se conecteze cu parola lui un mesaj de eroare? Dacă serverul meu RADIUS este conectat la o bază de date SQL și elimin un utilizator, acesta va fi eliminat în timp real? Mulțumesc mult pentru clarificări.

WPA2 este mai sigur decât WPA, așa cum a explicat Terry. Trebuie doar să înțelegeți diferența dintre versiunile personale (cheie prepartajată) și întreprindere ale ambelor protocoale.

Versiunea personală este locul în care toți utilizatorii partajează o parolă secretă care este configurată în punctul de acces. În versiunea enterprise există un server central de autentificare și toți utilizatorii au seturi diferite de acreditări pe care le folosesc pentru a accesa WiFi. Deci, practic, nu există o parolă partajată.

Modul Enterprise (RADIUS / EAP / 802.1X) al WPA sau WPA2 oferă următoarele avantaje față de utilizarea modului Personal (Pre-Shared Key sau PSK) al WPA sau WPA2:

• În general, complică procesul de „piratare” a firului wireless.
• Fiecărui utilizator i se poate atribui o acreditare de conectare unică (nume de utilizator sau parolă, certificate de securitate sau smartcard) pentru Wi-Fi, în loc de o singură parolă globală pentru toți.
• Spionaj de la utilizator la utilizator este prevenit, spre deosebire de modul Personal, unde utilizatorii conectați își pot captura traficul, inclusiv parolele și deturnarea sesiunii.
• Activează controale suplimentare (autorizații), cum ar fi Login-Time, permițându-vă să definiți zilele exacte și de câte ori utilizatorii se pot conecta, Called-Station-ID pentru a specifica prin ce puncte de acces se pot conecta și Calling-Station-ID pentru a specifica de la ce dispozitive client se pot conecta.

Deși Modul Enterprise necesită utilizarea unui server RADIUS, există servicii găzduite sau cloud acolo.

Există mulți termeni care se amestecă aici.

WPA2 este o schemă de criptare. Întreprinderea față de personal se referă la schema de autentificare, dar nu la schema de criptare. Schema de autentificare vă verifică identitatea proprietarului rețelei înainte de a vi se permite să trimiteți date criptate.

Din punctul de vedere Criptare, WPA2-Enterprise și WPA2-Personal au același algoritm de criptare pe 256 de biți (I cred că se numește AES-CCMP). Deci diferența dintre ele constă în schema de autentificare.

Acum, EAP și 802.1x pot fi considerate ca fiind același protocol. Ei definesc metode de semnalizare pentru a permite autentificarea între (acum acest lucru este important): clientul, punctul de acces și o a treia entitate numită registrator care stochează acreditările de autentificare.EAP este utilizat în Personal și Enterprise DAR diferența cheie este locația și tipul de acreditări pe care registratorul le cere de la client înainte de a fi de acord să îi acorde acces la rețea. În PERSONAL, este obișnuit ca registratorul să locuiască pe aceeași entitate fizică ca punctul de acces (adică routerul wireless), iar metoda de autentificare se bazează de obicei pe o cheie pre-partajată (de exemplu, cele care sunt preprogramate cu routerul când îl cumpărați sau cel pe care vi l-ar da proprietarul routerului atunci când veniți la el). Schimbarea acelei chei pre-partajate necesită o actualizare globală ori de câte ori vreunul dintre vechii clienți dorește să acceseze din nou rețeaua (adică trebuie să le spuneți că ați schimbat cheia și cheia este XYZ). În ENTERPRISE, registratorul este de obicei o entitate separată care rulează un protocol numit RADIUS. Oferă mai multă manevrabilitate (de exemplu, cheie pre-partajată pentru fiecare utilizator, administratorul poate revoca o cheie pentru un anumit utilizator etc.).

Acum ceva cu adevărat important aici (din punctul de vedere al securității), cheia de criptare (adică nu autentificarea) este derivată din cheia pre-partajată, astfel este mai ușor pentru cineva care are cheia de autentificare pre-partajată în PERSONAL să recreeze cheia de criptare și decriptează astfel datele. În plus, PERSONAL permite alte metode pentru a simplifica și mai mult problema introducerii cheii pre-partajate, cum ar fi butonul (butonul de pe router și dispozitiv în același timp și totul se întâmplă fără probleme). Această metodă a compromis securitatea dacă cineva asculta pe canal și s-a dovedit a fi ușor de rupt (acum termenul cu ușurință este relativ !!). O astfel de metodă nu este disponibilă în Enterprise. Prin urmare, pe scurt, Enterprise este mai sigur, dar este mai potrivit și pentru cineva care are cunoștințele și resursele necesare pentru a instala și administra un server RADIUS. O securitate bună se poate obține față de PERSONAL prin alegerea unei chei puternice pre-partajate și dezactivarea metodei cu buton de pe routerul wireless.

Presupun că atunci când întrebați dacă WPA-Enterprise este mai sigur decât WPA2, vă referiți la WPA2-PSK (alias WPA-Personal). Este cam ca și cum ai cere să fii legume mai sănătoase decât un măr. WPA-Enterprise acoperă un spectru de metode de autentificare (aproximativ 100 dintre toate în cadrul protocolului de autentificare extensibil), unele foarte puternice, altele foarte slabe. WPA2-PSK este un mijloc specific de autentificare bazat pe AES pe 256 de biți. Singurul mod fezabil de a sparge WPA2-PSK este de a captura pachetele de strângere de mână și apoi de a rula un atac dicționar împotriva acestuia. Nu contează câte strângeri de mână capturați (adică dacă este un client sau 100 care se conectează utilizând parola). Nu este ca WEP. Prin urmare, dacă aveți o parolă bună (de exemplu, 20 de caractere și destul de aleatorie), va fi destul de drăguță. Prin comparație, WPA-Enterprise poate utiliza scheme slabe, cum ar fi LEAP, care utilizează strângerile de mână MS-CHAPv2. Acestea sunt doar criptare DES de 56 de biți, ușor de cracat prin forță brută, indiferent de complexitatea parolei. Acum, printre cele 100 de opțiuni EAP, care variază în ceea ce privește costul și complexitatea, puteți găsi ceva care să aproximeze puterea unui WPA2-PSK cu o parolă aleatorie de 20 de caractere. Dar dacă acesta este singurul dvs. obiectiv, vă lipsește punctul WPA Enterprise. Principalul driver pentru WPA Enterprise este controlul granular pe care îl puteți avea despre cine sau ce se conectează la rețeaua dvs. WPA Enterprise poate crea acreditări pentru fiecare dispozitiv și utilizator. Dacă dintr-o dată trebuie să deconectați un utilizator sau o categorie de dispozitive (de ex. Telefoane mobile), puteți face acest lucru. Bineînțeles, când îl configurați, dacă eliminați implementarea utilizând ceva de genul LEAP, lăsați doar acele persoane / lucruri pe care le întoarceți la ușa din față prin ușa din spate. Dacă nu aveți bugetul, resursele și nevoile pentru WPA Enterprise, WPA2-PSK va fi mai ușor, mai ieftin și probabil mai sigur. Cele trei avertismente: o parolă suficient de complexă pe care o schimbați ocazional, nu aveți nevoie de control specific utilizatorului sau dispozitivului și, cel mai important – dezactivați acel acces stupid Wifi Protected Access (WPS) care apare pe unele puncte de acces.

Nu este. WPA-Enterprise și WPA-PSK vor crea în cele din urmă o cheie PTK pentru a fi utilizată în algoritmul TKIP, deoarece este WPA , prin urmare mai puțin sigur decât WPA2, indiferent dacă este WPA2-PSK sau WPA2-Enterprise.

Enterprise oferă doar criptare pentru strângerea de mână în 4 direcții, cum ar fi PEAP sau utilizarea certificatelor, astfel încât WPA-Enterprise este, fără îndoială, mai sigur decât WPA-PSK, dar va îndeplini în cele din urmă aceeași soartă. rețea utilizând conturi de utilizator sau informații cheie partajate per utilizator de la RADIUS sau, în cele din urmă, Active Directory pentru ca materialul să fie utilizat în generarea cheilor CCMP.