WPA2 står för Wireless Fidelity Protected Access 2 – Pre-Shared Key. Det gör det möjligt för hemanvändare eller små kontor att säkra sina nätverk utan att använda en företagsautentiseringsserver.
Hur fungerar WPA2-PSK?
WPA2-PSK kräver en router med en lösenfras, med en längd mellan 8 och 63 tecken, för att kryptera data i nätverket. Den använder en teknik som heter TKIP, dvs. Temporal Key Integrity Protocol, som kräver nätverkets SSID och lösenfrasen för att generera unika krypteringsnycklar för varje trådlös klient.
WPA2-PSK (AES) är säkrare än WPA2-PSK (TKIP), men WPA2-PSK (TKIP) kan användas med äldre enheter som inte är WPA2-PSK (AES)-aktiverade.
När en användare ansluter till routern anger användaren ett lösenord för att autentisera sin identitet och, så länge lösenordet matchar, är användaren ansluten till WLAN.
Med WPA2-PSK kan användaren säkra sina data som överförs via den trådlösa kanalen mellan en router och andra nätverksenheter. Det är den senaste generationen av Wi-Fi-säkerhet där nyckeln delas mellan anslutna enheter. WPA2-PSK är även känt som WPA2 Personal.
Är WPA2-PSK sårbar?
WPA2-PSK är utformat för små kontor och hemnätverk för att låta användare lita på nätverket de är anslutna till. WPA2-PSK är säkert men delar ett lösenord med alla användare som är anslutna till nätverket, vilket leder till att angriparen snokar i nätverket.
WPA2-PSK finns också på flygplatser, offentliga hotspots eller universitet eftersom det är enkelt att implementera och bara kräver ett lösenord. Men om din WPA2-PSK blir komprometterad kan en angripare enkelt få tillgång till ditt nätverk och kan utföra följande skadliga aktiviteter:
- Switch-förfalskning
- Spanning Tree Protocol (STP)-attacker
- Dynamisk värdkonfiguration (DHCP) förfalskning
- MAC-förfalskning (Media Access Control)
- Dubbel taggning
- ARP-förfalskning (Address Resolution Protocol).
Att använda ett enda lösenord för nätverksåtkomst kräver god tro för att hålla lösenordet hemligt på varje användares enhet. Anledningen till detta är att om en användare blir komprometterad kan alla användare hackas.
Brute force-attacker som ordboksattacker kan utföras, och en angripare kan dekryptera all enhetstrafik om den erhåller den fördelade nyckeln och fånga nyckelhandskakningen medan en användare ansluter till nätverket.
Alternativ till WPA2-PSK
WPA2-PSK är tillräckligt säkert för ett hemnätverk eftersom användare kan ändra lösenord när de tvivlar på att en oavsiktlig person använder det.
Om användarna däremot inte kan kompromissa med säkerheten kan WPA2-Enterprise användas för att ge olika lösenord till varje deltagare och förhindra åtkomst till nätverket som helhet. Det isolerar nätverket per användare. Kravet på RADIUS i 802.1x-implementeringen gör det komplext, men för ökad säkerhet kan 802.1x användas, vilket möjliggör autentisering via certifikat istället för inloggningsuppgifter.
Säkra ditt 802.1x-nätverk med WPA2 EAP-TLS-autentisering
Större organisationer kan använda WPA2 Extensible Authentication Protocol (WPA2 Extensible Authentication Protocol) istället för Transport Layer Security. Det använder AES-kryptering men lägger till autentisering med användarnamn och lösenord. En användare utan ett registrerat konto eller vars konto är inaktiverat kan inte komma åt det trådlösa nätverket. Det trådlösa nätverket kan vara ogenomträngligt för luftattacker genom certifikatbaserad autentisering som förlitar sig på EAP-TLS med servercertifikatvalidering. Den obehöriga användaren kan inte komma åt informationen som skickas för autentisering via en krypterad EAP-tunnel, och den identifierande informationen skickas endast till rätt RADIUS via servercertifikatvalideringsprocessen.
Implementeringen av WPA2 EAP-TLS kan vara ett problem på grund av dess komplexitet vad gäller initial design och konfiguration. Det kan också vara resurskrävande eftersom det kräver installation och hantering av en infrastruktur för offentliga nyckelr.
Säkra ditt nätverk med WPA3
WPA3 eliminerar säkerhetsproblemet genom att använda individualiserad datakryptering. Om WPA3 är aktiverat och användaren ansluter till ett öppet Wi-Fi-nätverk, krypteras data som överförs mellan enheten och Wi-Fi-åtkomstpunkten. Inte ens vid anslutningstillfället behöver användaren ange något lösenord.
Slutsats
Säkerhet är avgörande i denna uppkopplade värld. Våra data bör vara skyddade och endast åtkomliga för den avsedda personen. I dagens värld av trådlösa nätverk bör vi konfigurera vår nätverkssäkerhet till den senaste standarden så att ingen kan tränga in i vårt nätverk. Användare bör använda WPA3 för att förbättra autentiseringen och kryptering samtidigt som anslutningen förenklas. WPA3-SAE (Simultaneous Authentication of Equals) ersatte WPA2-PSK-autentiseringsprocessen. WPA3-SAE använder en 128-bitars krypteringsnyckel och Forward secretity-protokoll för att motstå offline-ordboksattacker samtidigt som det förbättrar säkerheten för nyckelutbyte utan ytterligare komplexitet. Å andra sidan ersätts WPA2-Enterprise av WPA3-Enterprise, som använder en 192-bitars krypteringsnyckel och en 48-bitars initialiseringsvektor enligt begäran från känsliga organisationer.
