使用密码短语(passphrase)来访问无线网络,并建立加密密钥以确保连接的安全已和802.11一样久远。最初被称为WEP,最新版本是WPA3-SAE,虽然背后的过程和技术发生了很多变化,但对终端用户而言,使用的方法和易用性并没有太大改变,这使得它成为保护Wi-Fi连接中最常用的方法之一。
与在控制访问门户上输入的任何内容并不相同,控制访问门户并非安全工具,在这里讨论的密码短语是用于加密客户端和接入点之间的连接,并非用于访问互联网的屏障。
Wi-Fi最初使用的加密方式是WEP,在2000年代初已被破解,例如通过aircrack-ng和John the Ripper等工具。WEP存在几个致命缺陷,使其易受暴力破解攻击,攻击者可以在几秒钟内破解它,这导致WEP在2004年被“正式弃用”。
2003年,在WEP被破解但IEEE正式引入802.11i修正案以及WPA2发布之前,Wi-Fi联盟发布了WPA,尽管这是一个临时解决方案,但当802.11i在2004年被批准后,它被Wi-Fi保护访问2(WPA2)取代,这是我们现在都很熟悉的协议。
WEP之所以容易被破解,是因为它在加密过程中只使用了一个密钥,如果该密钥被捕获,重复使用同一个密钥就是一个简单的过程。WEP在加密中使用的比特数也非常有限。一般来说,比特数越少,破解复杂度越低,破解加密所需的时间就越短。
幸运的是,在802.11i中,我们得到了使用AES-CCMP加密的WPA2。AES-CCMP改进了整体的加密算法,包括加密中使用的比特数。比特数越多,破解复杂度越高,破解加密所需的时间就越长。
但是,就像在Wi-Fi中的所有事物一样,存在着一种平衡。旧设备注重耐用性和稳定性,而新设备则追求速度和灵活性。在这中间的是确保我们保持连接和数据安全的目标,尽管我们网络中一些最关键的设备并不总是支持最新和最先进的安全性。
尝试在同一个SSID上运行旧设备和新设备可能会让任何管理员抓狂,因此为了实现保持新旧设备同时正常运行的平衡,他们可能会采取各种措施,包括在同一个无线电上使用不同的SSID来支持不同的安全能力。
现在,自2004年起,WPA2一直是我们可信赖的伙伴,并且在很大程度上一直表现良好。当然,偶尔会出现一些小问题(还记得KRACK漏洞吗?),但在部署和管理时,只要负责任地使用,它仍然非常安全。然而,当研究人员详细研究WPA2-PSK时,他们发现了一些构建加密密钥的问题。
与此同时,人们意识到WPA2已经存在了14年,是时候进行更新了。这个更新在2018年以WPA3的形式出现。
就像技术中的所有事物一样,创新技术同样帮助了网络攻击者,而不仅仅是合法的网络运营商和用户。随着处理器速度和能力的提高,帮助人们在移动设备上做更多事情的同时,也加快了攻击者暴力破解在野外捕获的密码和凭证的速度。云计算和无处不在的互联网连接使得攻击者可以更快、更容易地收集加密密钥,并将其发送到云计算实例或返回到中央破解服务器进行破解,这使得破解加密密钥的成本比以前便宜得多。
WPA3-SAE(Simultaneous Authentication of Equals)引入了类似于802.1X中使用的新的加密方法,使得攻击者无法在野外或离线使用暴力破解加密破解服务器。唯一没有改变的是,WPA3-SAE仍然使用网络运营商提供给终端用户的密码,就像WPA2-Personal、WPA甚至WEP一样。
我们仍然不希望将这个密码与每个人分享,但就目前而言,WPA3-SAE使用一种称为椭圆曲线加密(Elliptical Curve Cryptography)的方法生成加密密钥,目前,攻击者无法破解这一点。然而,就像之前的几代一样,今天并不是所有设备都支持WPA3,所以我们仍然面临着之前的平衡问题。
总而言之,在技术世界中,我们常常感到必须追求“最新和最先进”的东西,但有时我们会忽略一些细节。
虽然我们应该努力实现WPA2/3-Enterprise,但如果不是每个设备都能连接到该网络,也没有关系。通过WPA3-SAE,我们拥有一种与企业版本相媲美的基于密码的安全/加密方法,前提是人们不会意外或故意地在社交媒体上分享这些信息。
虽然WPA2-Personal可能不是“最佳”选择,但通过采取一些最佳实践(如使用RUCKUS DPSK),综合方案仍然非常安全,尽管WEP可以在几秒钟内被熟练的攻击者破解,但如果网络上的关键设备只支持WEP,那么这是必需的,但我们强烈建议尽快升级到其它加密方式。
参与评论 (0)