Поиск по сайту:

Безопасность Wi-Fi: следует ли использовать WPA2-AES, WPA2-TKIP или оба?

Резюме: для максимальной безопасности вам следует использовать WPA2 (AES), если в вашей сети есть более старые устройства, и WPA3, если у вас есть более новый маршрутизатор и более новые устройства, которые его поддерживают.

Ваш маршрутизатор Wi-Fi предлагает варианты шифрования, такие как WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES) и даже, если он достаточно современный, WPA3 (AES). Это может немного сбивать с толку, и если вы выберете неправильный вариант, у вас будет более медленная и менее безопасная сеть. Вот что вам нужно знать.

WPA2 против WEP, WPA и WPA3

Когда вы читаете о безопасности Wi-Fi, основное внимание обычно уделяется типу шифрования, используемому для защиты беспроводного соединения. В конце концов, это имеет смысл, потому что по самой природе Wi-Fi-маршрутизатора все коммуникации между вашим клиентским устройством (например, вашим смартфоном или ноутбуком) и маршрутизатором проходят через открытый воздух. Любой человек, находящийся в зоне действия вашего маршрутизатора, может отследить эту связь или даже получить доступ к вашему маршрутизатору, если беспроводное соединение небезопасно.

Это беспроводное соединение защищено с помощью алгоритмов безопасности, специально разработанных для Wi-Fi. Эти алгоритмы представляют собой не только шифрование (хотя это важный компонент), но и дополнительные функции, управляющие обменом и проверкой ключей, и многое другое.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) — это основные алгоритмы безопасности, с которыми вы столкнетесь при настройке беспроводной сети. Если у вас более новый маршрутизатор, вы также можете увидеть Wi-Fi Protected Access III (WPA3).

WEP является старейшим и доказал свою уязвимость по мере того, как обнаруживалось все больше и больше недостатков безопасности. WPA улучшил безопасность, но теперь также считается уязвимым для вторжения.

WPA2, хотя и несовершенен, более безопасен, чем WEP или WPA, и является одним из наиболее широко используемых алгоритмов безопасности Wi-Fi. Сети WPA и WPA2 могут использовать один из двух протоколов шифрования: протокол целостности временного ключа (TKIP) и расширенный стандарт шифрования (AES). Чуть позже мы рассмотрим разницу между этими двумя протоколами шифрования.

Наконец, сети WPA3 используют только протокол шифрования AES. Несмотря на то, что WPA3 был представлен в 2018 году, он до сих пор не получил широкого распространения.

AES против TKIP

TKIP и AES — это два разных типа шифрования, которые могут использоваться в сети Wi-Fi. TKIP на самом деле является более старым протоколом шифрования, представленным вместе с WPA для замены очень ненадежного шифрования WEP того времени. TKIP на самом деле очень похож на шифрование WEP. TKIP больше не считается безопасным и устарел. Другими словами, вы не должны его использовать.

AES – это более безопасный протокол шифрования, представленный в WPA2. AES – это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный всемирный стандарт шифрования, принятый даже правительством США.

Например, когда вы шифруете жесткий диск с помощью TrueCrypt, он может использовать для этого шифрование AES. Встроенный инструмент шифрования Windows BitLocker также использует AES, как и инструмент MacOS FileVault. AES обычно считается достаточно безопасным, и его основными недостатками являются атаки методом грубой силы (предотвращаемые с помощью надежной парольной фразы) и недостатки безопасности в других аспектах WPA2.

Вкратце: TKIP — это более старый стандарт шифрования, используемый стандартом WPA. AES — это более новое решение для шифрования Wi-Fi, использующее новый безопасный стандарт WPA2. По идее, это конец. Но, в зависимости от вашего маршрутизатора, простого выбора WPA2 может быть недостаточно.

Хотя WPA2 должен использовать AES для оптимальной безопасности, он также может использовать TKIP, где требуется обратная совместимость с устаревшими устройствами. В таком состоянии устройства, поддерживающие WPA2, будут подключаться по WPA2, а устройства, поддерживающие WPA, будут подключаться по WPA. Так что «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.

Объяснение режимов безопасности Wi-Fi: какой следует использовать?

Еще не запутались? Не расстраивайтесь, если это так. Мир безопасности Wi-Fi довольно загадочен, если вы не заядлый сетевой фанат. К счастью, вам не нужно разбираться в тонкостях того, как протоколы безопасности и рукопожатия менялись между всеми поколениями Wi-Fi.

Вам просто нужно просмотреть наш список ниже и выбрать наиболее безопасный вариант, который работает со всем вашим оборудованием и устройствами. Чтобы помочь вам избежать устаревших и небезопасных вариантов, мы пометили их с помощью [Deprecated] после названия.

И, чтобы было ясно, мы не произвольно контролируем эти протоколы и объявляем их устаревшими на основании нашего мнения. И Microsoft, и Apple также обозначили их как таковые, поэтому ваш ноутбук с Windows предупреждает вас, когда сеть Wi-Fi не защищена, а ваш iPhone предупреждает вас, когда сети Wi-Fi имеют слабую безопасность.

Кроме того, мы не указали вариант «Предприятие» в приведенном ниже списке, потому что предприятие, или безопасность Wi-Fi на основе RADIUS-сервера, редко встречается в жилых помещениях и требует дополнительной инфраструктуры.

Кроме того, обратите внимание, что в зависимости от вашего маршрутизатора параметры, отличные от корпоративных, могут быть обозначены как «Личные» или «PSK» — PSK означает «Pre-Shared Key» и указывает, что, в отличие от настройки Enterprise, не полагаться на сервер аутентификации, а вместо этого на пользователя, имеющего предварительно общий ключ (пароль Wi-Fi) для ввода в качестве метода аутентификации. Начиная с WPA2 и особенно с WPA3 чаще встречается «Личный» вместо «PSK».

Имея в виду эти примечания, вот варианты, которые вы, вероятно, увидите на своем маршрутизаторе.

  • Открыть [устарело]: открытые сети Wi-Fi не имеют парольной фразы. Вам не следует создавать открытую сеть Wi-Fi – серьезно, полиция может выломать вашу дверь.
  • WEP 64 [устарело]: старый стандарт протокола WEP уязвим, и вам не следует его использовать.
  • WEP 128 [устаревший]: это WEP, но с большим размером ключа шифрования. На самом деле он не менее уязвим, чем WEP 64.
  • WPA-PSK (TKIP) [устарело]: используется исходная версия протокола WPA (фактически WPA1). Он был заменен WPA2 и не является безопасным.
  • WPA-PSK (AES) [устарело]: используется исходный протокол WPA, но TKIP заменяется более современным шифрованием AES. Он предлагается в качестве временной меры, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, а устройства, требующие WPA, почти никогда не будут поддерживать шифрование AES. Таким образом, этот вариант не имеет большого смысла.
  • WPA2-PSK (TKIP) [устарело]: используется современный стандарт WPA2 со старым шифрованием TKIP. Это небезопасно и рекомендуется только в том случае, если у вас есть старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES). Это наиболее безопасный вариант (за исключением более нового WPA3). Он использует WPA2, новейший стандарт шифрования Wi-Fi, и новейший протокол шифрования AES. Вы должны использовать этот параметр, если только ваш маршрутизатор не поддерживает WPA3, тогда используйте его вместо этого. На некоторых устройствах вы увидите только вариант WPA2 или WPA2-PSK. Если вы это сделаете, он, вероятно, просто будет использовать AES, так как это здравый смысл.
  • WPA/WPA2-PSK (TKIP/AES). Некоторые устройства предлагают и даже рекомендуют этот вариант смешанного режима. Этот вариант позволяет использовать как WPA, так и WPA2 с TKIP и AES. Это обеспечивает максимальную совместимость с любыми устаревшими устройствами, которые у вас могут быть, но также позволяет злоумышленнику проникнуть в вашу сеть, взломав более уязвимые протоколы WPA и TKIP.
  • WPA2/WPA3 Personal (AES). Как и гибрид WPA/WPA2, этот режим предназначен для обеспечения обратной совместимости. Ваши устройства только с WPA2 будут подключаться с использованием WPA2 (AES), а ваши устройства с WPA3 будут использовать более продвинутый протокол. Он также может быть помечен как «WPA3 Transitional» или его вариант.
  • WPA3 Personal (AES): старые маршрутизаторы не поддерживают WPA3, а старые устройства не могут использовать WPA3. Но если у вас есть новый маршрутизатор, поддерживающий WPA3 и все более новые устройства, нет причин не полностью перейти на WPA3.

Сертификация WPA2 стала доступна в 2004 году. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, выпущенное после 2006 года, с логотипом «Wi-Fi» должно поддерживать шифрование WPA2. Сертификация WPA3 стала доступна в 2018 году, и любое устройство, сертифицированное после 1 июля 2020 года, должно поддерживать WPA3. (Обратите внимание на использование сертифицированных и не произведенных, компания по-прежнему может производить и продавать более старую конструкцию, которая была сертифицирована до принятия нового стандарта.)

Учитывая, что вполне вероятно, что каждое устройство Wi-Fi в вашей сети (включая сам маршрутизатор) было сертифицировано и произведено после 2006 года, нет никаких причин, по которым вы не должны использовать какой-либо протокол безопасности ниже WPA2-PSK (AES). Вы должны иметь возможность выбрать этот параметр на своем маршрутизаторе и не испытывать никаких проблем.

Если у вас более новый маршрутизатор с поддержкой WPA3, мы рекомендуем попробовать WPA3 (AES), чтобы перейти на самый высокий уровень безопасности. Если у вас возникнут какие-либо проблемы, переключитесь на гибрид WPA2/WPA3 (AES). Таким образом, новейшие устройства будут использовать наилучшую защиту, а более старые устройства вернутся к WPA2 — в любом случае они будут использовать AES, что идеально.

Если у вас нет более нового маршрутизатора, вероятно, пришло время его утилизировать и перейти на текущий маршрутизатор Wi-Fi с современными стандартами и всеми улучшениями Wi-Fi, которые с ним связаны. Вам не нужно покупать передовую модель Wi-Fi 7, но самое время перейти на Wi-Fi 6 или Wi-Fi 6E, если вы еще этого не сделали.

WPA и TKIP замедлят работу вашего Wi-Fi

Возможно, вы дочитали до этого момента и подумали: «На самом деле меня не особо волнует безопасность». Хотя мы призываем вас больше заботиться о безопасности сети Wi-Fi, мы понимаем, что это не является неотложным приоритетом для всех.

Итак, вот веская причина использовать более совершенные алгоритмы безопасности Wi-Fi, от которых может отказаться каждый. Варианты совместимости WPA и TKIP плохи не только с точки зрения безопасности. Они также могут замедлить работу вашей сети Wi-Fi.

Когда вы запускаете WPA/TKIP на маршрутизаторе, который поддерживает 802.11n и более новые, более быстрые стандарты, скорость снижается до 802.11g (54 Мбит/с), чтобы обеспечить обратную совместимость со старыми клиентами. Это мучительно медленно.

Для сравнения, даже 802.11n (Wi-Fi 4) поддерживает скорость до 300 Мбит/с, если вы используете WPA2 с AES. Однако сейчас у большинства людей более новые маршрутизаторы. Если у вас есть маршрутизатор 802.11ac (Wi-Fi 5) или 802.11ax (Wi-Fi 6) и вы используете WPA/TKIP, вы теряете огромное количество производительности.

В поколениях Wi-Fi 802.11g по сути является «Wi-Fi 2» и вышел в 2003 году. Просто нет веских причин использовать небезопасный, устаревший и медленный стандарт безопасности Wi-Fi.

Если вы сомневаетесь, всегда выбирайте WPA 2 (AES) или WPA3

До сих пор мы говорили это несколько раз, но в последний раз для акцента. Если вы не уверены, какую настройку выбрать на своем маршрутизаторе, всегда выбирайте наиболее безопасный, а для любого маршрута, созданного после 2010 года или около того, это WPA 2 (AES) или WPA 3.

На большинстве маршрутизаторов, которые мы видели сертифицированными до 2018 года, обычно используются WEP, WPA (TKIP) и WPA2 (AES) — возможно, с добавлением режима совместимости WPA (TKIP) + WPA2 (AES) на всякий случай. Если это то, что предлагает вам ваш маршрутизатор, настройте его на WPA2 (AES).

На маршрутизаторах, сертифицированных после 2018 года (особенно после крайнего срока 1 июля 2020 года), вы найдете режимы совместимости WPA3 и WPA2/WPA3. Мы настоятельно рекомендуем попробовать чистый режим WPA3. Если все работает, отлично! Вы используете лучшую настройку безопасности Wi-Fi, какую только можете. Если вы обнаружите, что в вашем доме есть несколько старых критически важных предметов (например, термостат Wi-Fi), которые не будут хорошо работать с WPS, вернитесь к режиму совместимости WPA2/WPA3.

Но что бы вы ни делали, пришло время навсегда отложить все второстепенные протоколы безопасности Wi-Fi, такие как WEP, WPA и WPA2 (TKIP).