WEP/WPA/WPA2加密標(biāo)準(zhǔn)有什么區(qū)別？

大多數(shù)的公共場(chǎng)合 WiFi 是不加密的，但居住區(qū)卻是常見(jiàn)一些使用 WAP 和 WAP2 加密標(biāo)準(zhǔn)的 Wi-Fi 信號(hào)?？赡芎芏嘤脩?hù)在設(shè)置路由器加密標(biāo)準(zhǔn)的時(shí)候都比較費(fèi)解，WEP、WPA 和 WPA2 等加密標(biāo)準(zhǔn)都有什么區(qū)別呢？

image

WiFi加密標(biāo)準(zhǔn)重要嗎？

用戶(hù)購(gòu)買(mǎi)路由器后首次啟動(dòng)，登錄并設(shè)置密碼。選擇哪個(gè)安全加密標(biāo)準(zhǔn)的選項(xiàng)重要嗎？事實(shí)證明，非常重要，因?yàn)殡S著計(jì)算機(jī)硬件的進(jìn)步和不斷發(fā)現(xiàn)的漏洞，過(guò)去的加密標(biāo)準(zhǔn)面臨越來(lái)越高的風(fēng)險(xiǎn)。如果未做好網(wǎng)絡(luò)、計(jì)算機(jī)和數(shù)據(jù)的安全保密，麻煩可能隨之而來(lái)，例如有人劫持了你的網(wǎng)絡(luò)并用于非法活動(dòng)，警察可能會(huì)首先找到你。了解加密協(xié)議并選擇路由器支持的最先進(jìn)加密標(biāo)準(zhǔn)至關(guān)重要（如果支持加密標(biāo)準(zhǔn)升級(jí)，請(qǐng)升級(jí)固件），選擇了合適的加密標(biāo)準(zhǔn)，網(wǎng)絡(luò)固若金湯；選錯(cuò)了，加密形同虛設(shè)。

WEP 、 WPA 和 WPA2 Wi-Fi安全的歷史

20世紀(jì)90年代后期以來(lái)，Wi-Fi 安全算法已經(jīng)歷了多次升級(jí)。通過(guò)了解 Wi-Fi 安全的歷史，用戶(hù)將明白為什么應(yīng)該避免選用舊標(biāo)準(zhǔn)。

有線等效加密（ WEP ）

有線等效保密（ WEP ）是世界上使用最廣泛的 Wi-Fi 安全算法。因?yàn)闅v史的緣故，以及向后兼容的原因，很多路由器的控制面板中，用戶(hù)會(huì)發(fā)現(xiàn)該算法位于加密類(lèi)型選擇菜單的首位。

WEP 于199年9月被批準(zhǔn)作為 Wi-Fi 安全標(biāo)準(zhǔn)。即使在當(dāng)時(shí)那個(gè)年代，第一版 WEP 的加密強(qiáng)度也不算高，因?yàn)槊绹?guó)對(duì)各類(lèi)密碼技術(shù)的限制，導(dǎo)致制造商僅采用了64位加密。當(dāng)該限制解除時(shí)，加密強(qiáng)度提升至128位。盡管后來(lái)還引入了256位 WEP 加密，但128位加密仍然是最常見(jiàn)的加密。

盡管經(jīng)過(guò)了修訂算法，加長(zhǎng)密鑰等升級(jí)，但是隨著時(shí)間的推移，人們發(fā)現(xiàn)了 WEP 標(biāo)準(zhǔn)的許多漏洞，隨著計(jì)算能力的提高，利用難度也越來(lái)越低。早在2001年，就已經(jīng)有相關(guān)漏洞的 POC 驗(yàn)證測(cè)試，2005年美國(guó)聯(lián)邦調(diào)查局發(fā)布了公開(kāi)演示（以增強(qiáng)人們對(duì) WEP 標(biāo)準(zhǔn)缺陷的認(rèn)識(shí)），他們使用公開(kāi)的免費(fèi)軟件在幾分鐘內(nèi)就破解了 WEP 的密碼。

盡管還進(jìn)行了種種改進(jìn)、變通，或支撐 WEP 系統(tǒng)的嘗試，但它仍然非常脆弱，依賴(lài) WEP 的系統(tǒng)應(yīng)該進(jìn)行升級(jí)，如果不能進(jìn)行安全升級(jí)，就更換新產(chǎn)品吧。 Wi-Fi 協(xié)會(huì)于2004年宣布 WEP 正式退役。

Wi-Fi 訪問(wèn)保護(hù)（ WPA ）

因?yàn)?WEP 加密標(biāo)準(zhǔn)頻出漏洞， Wi-Fi 協(xié)會(huì)推出了 WPA 加密標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)于2003年正式啟用，正是 WEP 正式退役的前一年。 WPA 設(shè)置最普遍的是 WPA-PSK（預(yù)共享密鑰），而且 WPA 使用了256位密鑰，明顯強(qiáng)于 WEP 標(biāo)準(zhǔn)中使用的64位和128位密鑰。

WPA 標(biāo)準(zhǔn)作出了一些重大變革，其中包括消息完整性檢查（確定接入點(diǎn)和客戶(hù)端之間傳輸?shù)臄?shù)據(jù)包是否被攻擊者捕獲或改變），和臨時(shí)密鑰完整性協(xié)議（TKIP）。 TKIP 采用的包密鑰系統(tǒng)，比 WEP 采用的固定密鑰系統(tǒng)更加安全。 TKIP 協(xié)議最后為高級(jí)加密標(biāo)準(zhǔn)（AES）所取代。

盡管 WPA 較之于 WEP 是有了很大的改善， WPA 標(biāo)準(zhǔn)仍然不夠安全。 TKIP 是 WPA 的核心組件，設(shè)計(jì)初衷是全為對(duì)現(xiàn)有 WEP 設(shè)備進(jìn)行固件升級(jí)。因此， WPA 必須重復(fù)利用 WEP 系統(tǒng)中的某些元素，最終也被黑客利用。

與 WEP 遭遇相同，通過(guò) POC 驗(yàn)證和公開(kāi)演示也被證明易受攻擊。有趣的是，對(duì) WPA 的攻擊過(guò)程中，通常不是直接對(duì) WPA 算法進(jìn)行攻擊（雖然此類(lèi)攻擊已經(jīng)成功），而是對(duì) WPA 推出的一個(gè)補(bǔ)充系統(tǒng) —— Wi-Fi保護(hù)設(shè)置（WPS），該設(shè)計(jì)的目的是為了方便建立連接。

Wi-Fi 訪問(wèn)保護(hù) II（ WPA2 ）

WPA 標(biāo)準(zhǔn)于2006年正式被 WPA2 取代。 WPA 和 WPA2 之間最顯著的變化之一是強(qiáng)制使用 AES 算法和引入 CCMP （計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議）替代 TKIP 。

目前， WPA2 系統(tǒng)的主要安全漏洞很不起眼（漏洞利用者必須進(jìn)行中間人模式攻擊，從網(wǎng)絡(luò)內(nèi)部獲得授權(quán)，然后延續(xù)攻擊網(wǎng)絡(luò)上的其它設(shè)備）。因此， WPA2 的已知漏洞幾乎都限制在企業(yè)級(jí)網(wǎng)絡(luò)，所以，討論 WPA2 在家庭網(wǎng)絡(luò)上是否安全沒(méi)有實(shí)際意義。

不幸的是， WPA2 也有著 WPA 同樣的致使弱點(diǎn)， Wi-Fi 保護(hù)設(shè)置（ WPS ）的攻擊向量。盡管攻擊WPA/WPA2保護(hù)的網(wǎng)絡(luò)，需要使用現(xiàn)代計(jì)算機(jī)花費(fèi)2至14小時(shí)持續(xù)攻擊，但是我們必須關(guān)注這一安全問(wèn)題，用戶(hù)應(yīng)當(dāng)禁用 WPS （如果可能，應(yīng)該更新固件，使設(shè)備不再支持 WPS ，由此完全消除攻擊向量）。

看到這里，你可能會(huì)自我感覺(jué)良好（因?yàn)槟阕孕诺貫?Wi-Fi 接入點(diǎn)選擇了最合適的加密方案），也可能有點(diǎn)緊張，因?yàn)槟氵x了 WEP （ WEP 在列表的第一位）。如果你真的選錯(cuò)了，也不要煩惱，亡羊補(bǔ)牢。

針對(duì)目前的路由器， Wi-Fi 安全方案如下（從上到下，安全性依次降低）：

WPA2 + AES ★★★★☆

WPA + AES ★★★☆

WPA + TKIP / AES（ TKIP 僅作為備用方法） ★★★

WPA + TKIP ★★☆

WEP ★★

Open Network 開(kāi)放網(wǎng)絡(luò)（無(wú)安全性可言）

理想情況下，你會(huì)禁用 Wi-Fi 保護(hù)設(shè)置（ WPS ），并設(shè)置你的路由器 WPA2 + AES 。列表中的其它方案的安全性依次降低。如果你選擇 WEP ，你的安全水平是如此之低， WEP 加密就像是一道圍欄 —— 其作用只是宣稱(chēng)這是個(gè)人財(cái)產(chǎn)，攻擊者只要想進(jìn)入就可以越過(guò)它。

WEP 、 WPA 和 WPA2 等加密標(biāo)準(zhǔn)都有被破解的可能，密碼是死的，對(duì)于無(wú)所不用其極的專(zhuān)業(yè)人士來(lái)說(shuō)，修改網(wǎng)絡(luò)名稱(chēng)并隱藏?zé)o線網(wǎng)絡(luò)ID是最好的辦法。