WPA2
WPA2
徠WPA2 (WPA 第二版) 是 Wi-Fi 聯盟對採用 IEEE 802.11i 安全增強功能的產品的認證計劃。簡單一點理解,WPA2是基於WPA的一種新的加密方式。
“Wi-Fi 聯盟”是一家對不同廠商的無線 LAN 終端產品能夠順利地相互連接進行認證的業界團體,由該團體制定的安全方式是“WPA (Wi-Fi Protected Access, Wi-Fi 保護訪問)”。2004 年 09 月發表的“WPA2”支持“AES”加密方式。除此之外,與過去的 WPA 相比在功能方面沒有大的區別。古老的“WEP”加密方式,在安全上存在著若被第三者惡意截獲信號密碼容易被破解的問題,但也有部分較老的設備不支持此加密方式。
為了提高安全性,IEEE (美國電氣電子工程師協會) 過去曾一直致力於制定“IEEE 802.11i”方式,但標準化工作卻花費了相當長的時間。因此,Wi-Fi 聯盟就在 2002 年 10 月發表了率先採用 IEEE 802.11i 功能的 WPA,希望以此提高無線 LAN 的安全性。
此後,到了 2004 年 06 月 IEEE 802.11i 制定完畢。於是,Wi-Fi 聯盟經過修訂后重新推出了具有與 IEEE 802.11i 標準相同功能的 WPA2。該聯盟表示“WPA2 可以滿足部分企業和政府機構等需要導入 AES 的用戶需求”。
目前,大多數企業和許多新的住宅 Wi-Fi 產品都支持 WPA2。截止到 2006 年 03 月,WPA2 已經成為一種強制性的標準。WPA2 需要採用高級加密標準 (AES) 的晶元組來支持。
WPA2 有兩種風格:WPA2 個人版和 WPA2 企業版。WPA2 企業版需要一台具有 IEEE 802.1X 功能的 RADIUS (遠程用戶撥號認證系統) 伺服器。沒有 RADIUS 伺服器的 SOHO 用戶可以使用 WPA2 個人版,其口令長度為 20 個以上的隨機字元,或者使用 McAfee 無線安全或者 Witopia Secure MyWiFi 等託管的 RADIUS 服務。
WPA只是802.11i的草案,但是明顯晶元廠商已經迫不及待的需要一種更為安全的演演算法,並能成功兼容之前的硬體。而通過簡單的固件升級,WPA就能使用在之前的WEP的產品上。WPA採用了TKIP演演算法(其實也是一種rc4演演算法,相對WEP有些許改進,避免了弱IV攻擊),還有MIC演演算法來計算效驗和。目前能破解TKIP+MIC的方法只有通過暴力破解和字典法。暴力破解所耗的時間應該正常情況下用正常的PC機是算一輩子也算不出來的。而字典法破解利用的字典往往是英文單詞、數字、論壇ID(有些論壇把你的ID給賣了)。目前為止還沒有人能像破解WEP一樣“點殺”WPA密碼。如果破解者有本好字典,同時受害者取了個“友好”的名字除外。因此,往WPA密碼中加一些奇怪的字元會有效的保證安全。
WPA2是WPA的升級版,現在新型的網卡、AP都支持WPA2加密。WPA2則採用了更為安全的演演算法。CCMP取代了WPA的MIC、AES取代了WPA的TKIP。同樣的因為演演算法本身幾乎無懈可擊,所以也只能採用暴力破解和字典法來破解。暴力破解是“不可能完成的任務”,字典破解猜密碼則像買彩票。可以看到無線網路的環境如今是越來越安全了,同時覆蓋範圍越來越大,速度越來越快,日後無線的前途無量。
值得說明的是,WPA和WPA2都是基於802.11i的。
徠簡單概括:
• WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP
• WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP/CCMP
貌似WPA和WPA2隻是一個標準,而核心的差異在於WPA2定義了一個具有更高安全性的加密標準CCMP。所以,你採用的什麼標準不重要,重要的是看你採用哪種加密方式。
一度認為是100%安全的WPA2加密模式,目前也被認為是極度的不安全了。
早在2009年,日本的兩位安全專家稱,他們已研發出一種可以在一分鐘內利用無線路由器攻破WPA加密系統的辦法。這種攻擊為黑客提供了掃描電腦和使用WPA(Wi-Fi保護接入)加密系統的路由器之間加密流量的方法。這種攻擊是由日本廣島大學的 Toshihiro Ohigashi和神戶大學的Masakatu Morii兩位學者開發的,他們準備在9月25日在廣島召開的一次技術會議上對此攻擊做更詳盡的討論。不過,截止到目前,這種破解方法沒有公佈於眾,但是這並不意味著WPA的安全。
近幾年,隨著無線安全的深度了解,黑客以及發現了最新的WPA2加密破解方法。通過字典以及PIN碼破解,幾乎可以60%的輕易化解WPA2機密。
應對策略:設置複雜的密碼。關閉WPS/QSS。