带密码的无线安全

使用密码访问无线网络，然后构建加密密钥来保护该连接，大约和802.11本身一样古老。最初作为有线等效协议或 WEP 引入，最新版本是 WPA3-SAE，或同时验证等同。虽然许多背景流程和技术发生了变化，但最终用户的方法和易用性并没有太大变化；这很容易使其成为所有使用的技术中最常用的方法，以确保Wi-Fi连接。

密码短语

使用密码或口令来访问某些东西几乎和人类本身一样古老。向正确的人说出秘密词或词序列，并授予访问权限。因此，当在野外发现这些类型的网络时，人们很容易掌握和使用密码版本的安全性。

这里的边栏非常快...... 这里讨论的密码短语与在专属门户网站上输入的任何内容不同。专属门户不是安全工具。他们从来没有，永远不会。这里正在讨论的是用于加密客户端和AP之间的连接的密码，而不是访问互联网的障碍。

Wi-Fi 中使用的原始加密是 WEP。希望每个人都知道并理解 WEP 早在 2000 世纪 2 年代就被 aircrack.ng 和 John the Ripper 等工具所入侵。WEP包含了一些致命的缺陷，允许它在几秒钟内被野蛮的武力攻击，导致它20042年“正式退休”。我说“正式退役”是因为，虽然WEP的问题仍然存在，但由于客户端设备不支持任何更新的加密，现在仍然可以使用WEP的网络。

2003年，在WEP受到损害之后，但在IEEE能够正式引入802.11i修正案之前，Wi-Fi联盟发布了WPA作为停止差距解决方案，用于需要从WEP迁移的网络，然后批准802.11i并发布WPA2。当然，这是一个关键的停滞，但当802.11i在2004年获得批准时，它被Wi-Fi Protected Access 2或我们所有人都熟悉的WPA2协议“取代”。

WPA2-Personal

WEP很容易破解，因为它在加密过程中只使用一个密钥，如果捕获了该密钥，那么重复使用同一密钥是一个简单的过程。WEP在加密中使用的位数方面也非常有限。一般来说，更少的位 = 更少的破解复杂性 = 破解加密的更快时间。

幸运的是，使用802.11i，我们获得了采用AES-CCMP加密的WPA2。AES-CCMP 改进了整体加密算法，包括加密中使用的位数。更多位 = 更复杂的破解 = 更长的破解加密时间。

但是，与一切一样，Wi-Fi中也有一种平衡行为。我们没有免费获得任何东西。较旧的设备重视耐用性和稳定性，而较新设备则寻求速度和灵活性。人们希望确保我们的连接和数据安全，即使我们网络中一些最关键的设备并不总是支持最新和最大的安全性。

尝试在同一SSID上操作这些新旧设备可能会让管理员发疯，所以他们可以采取的任何措施来保持新旧功能的平衡行为都可能会发生，包括在同一无线电上使用不同的SSID来支持不同的安全功能。

现在，WPA2自2004年以来一直是我们值得信赖的朋友，在很大程度上为我们服务。当然，这里和那里都出现了嗝（记住KRACK？），但是当以负责任的方式部署和管理时，它仍然非常安全。然而，当研究人员详细研究WPA2-PSK时，他们发现了它如何构建加密密钥的一些问题。

此外，正是在这个时候，人们意识到WPA2已经出局14年了，现在可能是刷新的时候了。此次更新以 WPA3 的形式在 2018 中发生。

介绍 WPA3-SAE

就像技术上的所有东西一样，创新也帮助网络的攻击者，甚至不超过合法的网络运营商和用户。随着处理器速度和能力的提高，帮助人们在移动设备上做更多的事情，攻击者也更快地强行使用在野外捕获的密码和凭据。云计算和无处不在的互联网连接使组织能够更快、更轻松地分散工作负载，就像攻击者一样。

过去需要几个月才能进行暴力攻击的事情现在可以在几天内完成；过去需要几周的时间现在可以在几小时内破解，如果不是几分钟的话。由于攻击者能够从任何地方收集加密密钥，然后将其发送到云计算实例或返回到中央破解服务器进行处理，破解加密密钥的成本比以前便宜得多。

WPA3-SAE （Simultaneous Authentication of Equals） 引入了类似于 802.1X 中使用的新加密方法，使得使用专为手头任务定制的暴力加密破解器服务器在野外或离线破解变得更加困难。它没有改变的一件事是，WPA3-SAE仍然使用网络运营商提供给最终用户的密码，就像WPA2-Personal，WPA甚至WEP一样。虽然后端加密完全不同，但对于最终用户来说，这个过程仍然是相同的，由于一些真正的技术过程，我们在这里不会涵盖，因此更加安全。

我们仍然不想与我们在街上遇到的每个人共享这个密码，但目前，WPA3-SAE使用称为椭圆曲线密码学的东西来生成加密密钥，而无需通过攻击者可以捕获的空气发送任何部分密钥，然后进行反向工程。而且，就目前而言，这是攻击者无法破解的事情。然而，与前几代人一样，并不是现在每个设备都支持WPA3，所以我们仍然有以前的平衡行为。

结论

在一个我们似乎感到压力的世界里，总是有“最新和最伟大的”，一些细节可能会迷失在洗牌中。虽然WPA2/3-Enterprise是我们的目标，但如果不是每个设备最终都在该网络上，这是可以的。使用WPA3-SAE，我们有一种基于密码的安全/加密方法，与企业版本相当，假设人们不会意外或故意在社交媒体上共享这些信息。

虽然WPA2-Personal可能不是“最好的”，但请记住，对于一些最佳实践（如使用RUCKUS DPSK），组合解决方案仍然是非常安全的。虽然WEP可以在几秒钟内被合格的攻击者破解，但如果这是网络上所有关键设备所支持，那就成为要求，尽管我强烈建议升级到几乎任何东西来摆脱WEP。但这是另一天的谈话。

虽然有时，考虑和理解安全性可能会令人不知所措，但请放心，RUCKUS Networks 正在努力使您的组织能够在将所需设备保持在网络上、防止不需要的设备加入以及使管理员能够同时监控和管理网络之间走上道路。有关 RUCKUS 如何提供帮助的更多信息，请查看其他安全博客、RUCKUS 的网络分段功能、安全引导和身份验证功能以及 RUCKUS WAN 网关 （RWG）。