無線安全協定:WEP、WPA、WPA2 與 WPA3

我們將嘗試解釋WEP、WPA、WPA2與WPA3等加密標準之間的差異,以便您可以了解哪一種最適合您的網絡環境。

審核者
  • NetSpot
  • #1 NetSpot
  • WiFi 安全必需

  • WiFi 安全必需

  • 4.8
  • 969位用戶評論

自1990年代以來,WiFi安全演算法經歷了許多改變與升級,以變得更加安全與有效。針對家庭無線網路保護,開發了不同類型的無線安全協議。無線安全協議包括WEP、WPA、WPA2和WPA3,它們的目的相同但同時又存在差異。

什麼是無線安全?

無線網絡安全是指保護像Wi-Fi這樣的無線網絡不受黑客或未經授權用戶的侵擾。它使用密碼和特殊加密方法來確保只有被允許的人能夠訪問,並且通過它傳送的資料得到保護。這有助於預防外部人士盜取或查看你的信息,比如你的消息或你訪問的網站。

無線安全是如何工作的?

無線安全通過使用密碼和加密來保護你的網絡連接。 有不同類型的加密方式,如WPA2或WPA3,這些僅僅是使資料更加安全的方法。這樣的協議通過實施加密和認證等安全措施來工作。

  • 加密:使得無線通訊對於沒有正確加密鑰匙的人變得難以理解。
  • 認證:確保只有那些身份已被正確驗證的用戶和設備才能加入網絡。

當你建立一個Wi-Fi網絡時,你會創建一個密碼。只有知道這個密碼的人才能加入網絡。一旦連接,加密會打亂通過網絡傳送的資料,使得即使有人攔截了資料,他們也無法理解。有些網絡還會隱藏他們的名稱或使用防火牆來阻擋不想要的流量,增加了額外的安全層。

無線安全不可見的本質的一個缺點是,WiFi用戶常常不太關注它,不知道哪種無線安全協議保護新的網絡受到保護。

无线安全协议类型

無線安全協定對於保護敏感信息和確保通過WiFi連接網際網路時的隱私至關重要。在本節中,我們將仔細研究最常用的無線安全協定(WEP、WPA、WPA2與WPA3),並討論它們的特點、優勢和劣勢。

無線安全協議:WEP、WPA、WPA2 和 WPA3
協定 #1

WEP,有線等效隱私

1999 — 2004 標準。易於破損而難以配置。已棄用。

  • 1
  • 安全 • 差
  • 1
  • 可配置 • 困難

WEP是為無線網絡開發的,並於1999年9月被批准為Wi-Fi安全標準。WEP的目的是提供與有線網絡相同的安全等級,然而WEP有很多已知的安全問題,而且它易於破解且配置起來困難。

儘管人們已做了大量工作來改進WEP系統,但它仍然是一個高風險的解決方案。依賴此協議的系統應該升級或更換,如果安全升級不可能的話。WEP在2004年正式被Wi-Fi聯盟廢棄。

協定 #2

WPA. Wi-Fi 保護存取

曾作為WEP的臨時增強手段。容易被破解。配置:中等。

  • 2
  • 安全 • 差
  • 3
  • 可配置 • 多或少

在802.11i無線安全標準開發期間,WPA被用作對WEP的臨時安全增強。在WEP正式被棄用的前一年,WPA被正式採用。大多數現代WPA應用使用預共享密鑰(PSK)通常被稱為WPA個人版,以及用於加密的時域密鑰完整性協定或TKIP(/tiːˈkɪp/)WPA企業版則使用認證服務器產生密鑰和證書。

WPA是對WEP的重大增強,但由於核心組件的制定是為了能夠通過固件升級在支持WEP的設備上推出,因此它們仍然依賴於已被利用的元素。

和WEP一樣,經過概念验证和公開展示後,WPA也被證實對入侵相當脆弱。然而,對該協議構成最大威脅的攻擊不是直接的攻擊,而是對Wi-Fi Protected Setup(WPS)的攻擊—這是一個開發用來簡化設備與現代接入點連接的輔助系統。

speed Test Icon
檢查你的加密使用NetSpot

功能强大的先进工具,可用于多个 Wi-Fi 网络的调查、分析与故障排除。

協定 #3

WPA2。第二版無線保譼存取

自 2004 年起。AES 加密。

  • 4
  • 安全性 • 良好
  • 4
  • 可配置 • 标准

2004年引進了基於802.11i無線安全標準的協議。相較於WPA,WPA2 最重要的改進就是使用了高級加密標準(AES)AES獲得了美國政府的認可,用於加密被定義為最高機密的信息,因此它足夠好,可以用來保護家庭網絡。

ADVANCED ENCRYPTION STANDARD
已經獲得美國政府的批准

目前對WPA2系統的主要漏洞出現在攻擊者已經取得保護WiFi網絡的存取權,並能獲取某些密鑰來對網絡上的其他設備進行攻擊時。話雖如此,目前已知的WPA2安全漏洞所建議的安全措施大多數適用於企業級網絡,對於家用小型網絡並不是特別相關。

不幸的是,目前擁有WPA2功能的接入點透過Wi-Fi Protected Setup (WPS)進行攻擊的可能性仍然很高,這也是WPA面臨的問題。即使通過這一漏洞入侵WPA/WPA2保護的網絡需要大約2到14個小時,但這仍然是一個實際的安全問題,應該停用WPS,如果接入點韌體能重新設置成不支援WPS的版本,以完全排除這種攻擊途徑,將會更加安全。

協定 #4

WPA3,Wi-Fi 保护访问版本3

自2018年起。密碼保護。WiFi輕鬆連接。

  • 5
  • 安全 • 卓越
  • 5
  • 可配置 • 卓越

UPD: WPA3 是下一代 WiFi 安全标准

保護 Wi-Fi 免受駭客攻擊是資安工作中最重要的任務之一。這也是為什麼新一代的無線安全協定 WPA3 的到來值得您關注:它不僅能使 Wi-Fi 連接更安全,還能幫助您避免因安全疏忽造成的風險。

以下是它提供的功能:

密碼保護

從 WPA3 如何在家中保護您開始說起。具體來說,它會減輕因您設置簡單密碍帶來的損害。

WPA2 是目前普遍使用的無線安全協定,始於 2004 年,它的一個基本弱點是它允許駭客利用所謂的離線字典攻擊來猜測您的密碼。攻擊者可以在不用加入同一網絡的情況下,不限次數地嘗試猜測您的憑證,迅速遍歷整個字典 — 以及更多的可能性。

WPA3 通過實施新的密鑰交換協定來防範字典攻擊。WPA2 使用了一種不完美的「四向交握」four-way handshake)機制,讓客戶端和接入點之間建立加密連接;這就是惡名昭彰的 KRACK 漏洞的原因,它影響了基本上所有的網絡連接裝置。WPA3 將拋棄這種方式,轉而使用更安全 — 並得到廣泛檢驗的 — 同時認証等值握手(Simultaneous Authentication of Equals handshake)

即使您的密碼不幸被破解,WPA3 的這種新握手機制也有其他好處。WPA3 支援前向保密性(forward secrecy)這意味著在外部攻擊者獲得訪問權限之前的任何通過您系統的流量將保持加密。使用 WPA2 的話,他們也能解密舊的流量。

更安全的連接

當 2004 年 WPA2 面世時,物聯網尚未成為當今日益增加的安全威脅。因此,WPA2 並沒有提供一種簡便的方式來安全地將這些設備連接到存在的 Wi-Fi 網絡。事實上,目前為止這個過程通常採用的方法 — Wi-Fi Protected Setup — 自 2011 年起就存在已知漏洞。WPA3 提供了解決方案。

Wi-Fi 聯盟稱之為 Wi-Fi Easy Connect,它讓那些沒有(或有限的)屏幕或輸入機制的無線裝置更容易接入您的網絡。一旦啟用,您只需要用智能手機掃描路由器上的二維碼,然後再掃描您的打印機或揚聲器或其他 IoT 裝置上的二維碼,就設定好了 — 他們已經安全地連接。通過二維碼方法,您將使用基於公鑰加密的方式來為目前大多數缺乏簡單、安全接入方法的裝置實現接入。

這種趨勢也體現在幾周前 Wi-Fi 聯盟詳述的 Wi-Fi Enhanced Open 上。您可能聽說過應該避免在公共 Wi-Fi 網絡上進行任何敏感的瀏覽或資料輸入。這是因為在 WPA2 上,跟您在同一公共網絡上的任何人都可以監視您的活動,並以中間人攻擊或流量竊聽等方式對您進行攻擊。用 WPA3 就不會這樣了。

當您使用 支援 WPA3 的裝置 登錄到咖啡廳的 WPA3 Wi-Fi 時,您的連接會自動加密,不需要額外的認證。它使用一種稱為 Opportunistic Wireless Encryption 的既定標準來實現。

與密碼保護一樣,WPA3 對公共網絡的擴展加密也能保護 Wi-Fi 使用者免受他們可能不知道存在的漏洞的威脅。事實上,它可能會使 Wi-Fi 使用者覺得太過安全了。

可用性

Wi-Fi 聯盟在 2018 年開始 WPA3 認證計劃,但直到 2020 年 WPA3 支援才成為所有標有 "Wi-Fi CERTIFIED™" 標誌裝置的強制要求。

從那時起,幾乎所有WiFi路由器製造商都推出了支持最新無線加密標準的型號,因此對於那些仍在使用不支持 WPA3 的舊路由器的用戶來說,有很多選擇。

speed Test Icon
檢查你的加密使用NetSpot

功能强大的先进工具,可用于多个 Wi-Fi 网络的调查、分析与故障排除。

哪一種安全方法適用於您的網路?

這裡是從最好到最差的現代(2006年後)路由器可用的WiFi安全方法基本評級:

  1. WPA3 + AES-CCMP/AES-GCMP
  2. WPA2 + AES
  3. WPA + AES
  4. WPA + TKIP/AES (TKIP作為後備方法)
  5. WPA + TKIP
  6. WEP
  7. 開放網絡(完全沒有安全保護)

最佳的做法是停用Wi-Fi保護設置(WPS)並將路由器設置為WPA3 + AES-CCMP/AES-GCMP。隨著列表的向下移動,你的網絡安全性就越低。

目的

所有無線加密標準都應該防止未經授權的訪問網絡。如果你不對路由器進行任何安全設置,那麼任何人都可以竊取帶寬,以你的名羌進行違法行為,監控你的網絡活動,並輕鬆在你的網絡中安裝惡意軟件。

脆弱性

較老的無線加密標準在安全方面有很多欠缺。最老的標準,WEP,在一定程度上容易受到像Wi-Fi反認證攻擊和ARP重新注入的技術的影響,這使得攻擊者可能在幾分鐘內就破解WEP保護的網絡。

WPA和WPA2解決了WEP的缺點,但是,多年來,駭客發現了幾個漏洞,例如KRACK(重裝密鑰攻擊”重放攻擊,使得這些標準保護下的網絡不再安全。

這就是為什麼若可能的話最好使用WPA3。由於其同時鑑別等式(SAE)交換,該標準提供了更加安全的初始密鑰交換。

WPA與WPA2

WiFi路由器支持多種安全協議來保護無線網絡:WEP、WPA和WPA2。然而,與它的前身WPA(Wi-Fi保護訪問)相比,建議使用WPA2。

WPA2唯一的缺點可能是它需要多大的處理能力來保譲你的網絡。這意味著需要更強大的硬件以避免網絡性能下降。這個問顲尤其關乎那些在WPA2推出之前已經實施的接入點,它們只通過固件升級支持WPA2。大多數當前的接入點都配备了更加强大的硬件。

如果可以的話,一定要使用WPA2,只有當你的接入點無法支持WPA2時才使用WPA。當你的接入點經常經歷高負荷並且網絡速度因使用WPA2而受損時,使用WPA也是一種可能性。當安全是最高優先級時,則不應退回舊標準,相反,應嚴重考慮獲取更好的接入點。如果沒有可能使用任何WPA標準,則必須使用WEP。

性能

這不是巧合,最弱的加密標準,WEP,也是最快的。然而,你絕對不想僅僅為了提高性能就犧牲WiFi網絡的安全,因為潛在的收益永遠不值得承擔的風險。

如果你真的非常關注性能,那麼你可以購買更好的路由器,一款具備足夠處理能力的路由器,可以消除在保持最大安全性的同時的任何減速。

保護您的Wi-Fi網絡

WPA3相較於WPA2而言提供了更多的保護,因此它比WPA及WEP更安全,但你路由器的安全性仍然非常依賴你設定的密碼。WPA、WPA2、WPA3都允許你使用長達63個字符的密碼。

盡量在你的WiFi網絡密碼中使用各種不同的字符。黑客通常尋找容易的目標,如果他們幾分鐘內破解不了你的密碼,他們很可能就會放棄,轉而尋找更容易受攻擊的網絡。摘要:

  1. WPA3是最新無線加密標準;
  2. WPA2是原始WPA標準的增強版;
  3. WPA僅支持TKIP加密,而WPA2和WPA3支持AES;
  4. WPA3引入了「同時相等認證」作爲一種新的認證方法,以保護弱密碼不受攻擊;
  5. 使用NetSpot檢查你的加密狀況!
在Android上分析您的Wi-Fi

使用NetSpot檢渡、比較、調研及分析WiFi網絡。

NetSpot for Android (inspector banner)NetSpot for Android (inspector banner)

結論

既然您已經了解了可用無線安全協議之間的差異,您應該利用您新獲得的知識,將您的路由器設置為使用支持的最新協議。如果您的路由器太舊,以至於連 WPA2 都不支持—更不用說 WPA3 了—那麼現在確實是購買新路由器的正確時機,否則您可能會經歷一次成本高昂的網絡安全事件。

speed Test Icon
檢查你的加密使用NetSpot

功能强大的先进工具,可用于多个 Wi-Fi 网络的调查、分析与故障排除。

無線安全協定常見問題

無線安全協譽有哪些類型?

有幾種無線安全協議:WEP、WPA、WPA2 和 WPA3:

  • WEP(有線等效隱私)於1999年9月獲批准為 Wi-Fi 安全標準。起初,WEP 被期望能為無線網絡提供與有線網絡相同的安全級別,然而 WEP 有許多眾所周知的問題,這些問題很容易被利用。
  • WPA(Wi-Fi 受保護存取)在 802.11i 無線安全標準開發階段時用作對 WEP 的臨時安全增強。在正式淘汰 WEP 的前一年,WPA 被正式採用。儘管 WPA 比 WEP 有了顯著的改善,但它的一大問題是核心組件被製作成可以通過韌體升級在支持 WEP 的設備上推出,因此它並沒有提供足夠的保護以抵禦駭客攻擊。
  • WPA2(Wi-Fi 受保護存取第二版)於2004年推出。這個 802.11i 無線安全標準相較於其前身提供的最重要改進是實現了高級加密標準(AES)AES 獲美國政府批准用於對極機密資料的加密,這本身就說明了一些問題。WPA2 的問題是,如果攻擊者直接接觸到一個安全的網絡並且能獲取某些密鑰,他們可以對網絡上的其他設備發起攻擊。這個問題只在企業級網絡中被認為是重大的,較小型和家用網絡通常不是目標。
  • WPA3(Wi-Fi 受保護存取第三版)是最新的安全協議,具有最高標準。WPA3 保護免受字典攻擊,並使用同時鑑權等式(SAE)握手,這保護了其網絡免受可能發生在 WPA2 下的攻擊。WPA3 在公共網絡(比如咖啡店中)非常好,因為它會自動加密連接,無需任何額外的認證。
哪種安全方法適用於您的網絡?

以下是從最好到最差的無線網路現代(2006年後)安全方法列表:

  • WPA3 + AES-CCMP/AES-GCMP
  • WPA2 + AES
  • WPA + AES
  • WPA + TKIP/AES(備用方法為TKIP)
  • WPA + TKIP
  • WEP
  • 開放網絡(完全沒有安全措施)
如何保譽您的WiFi網絡?

安全協議非常重要,版本越新,您的網絡保護就越安全。但為您的網絡設定一個堅固的密碼也同樣重要。WPA及WPA2協議允許您設定多達63個字元的密碼。使用特殊字符、大小寫字母和數字,避免簡單的字典詞,使您的密碼難以破解。

我應該使用 WPA2 還是 WPA3?

您應該盡可能使用WPA3,因為該加密技術比WPA2要安全得多。

哪一種加密對於 Wi-Fi 來說最好?

目前可用於 Wi-Fi 的最佳加密技術稱為 WPA3。如果您的路由器不支持此技術,那麼您應該考慮升級到支持 WPA3 的路由器。

WEP、WPA和WPA2之间有什么差异?

在三種無線加密標準之間有幾個重要的差別。就加密強度而言,WEP使用40位元的加密金鑰,WPA使用128位元的加密金鑰,而WPA2使用256位元的加密金鑰。這些標準還支援不同的認證方法,新的方法比舊的方法顯著地更安全。

還有其他問題嗎?
提交請求 或寫幾個字。

免費獲取NetSpot

Wi-Fi現場勘測, 分析, 故障排查可在配備標準802.11a/b/g/n/ac/ax無線網絡適配器的MacBook (macOS 11+)或任何筆記本電腦(Windows 7/8/10/11)上運行。