Более известный как «то, что защищает ваш домашний Wi-Fi», WPA2 (Wi-Fi Protected Access II) — это стандарт безопасности, в котором используется общий пароль, позволяющий устройствам подключаться к беспроводной сети.
WPA2 был запущен в 2004 году, чтобы заменить старый стандарт WPA, который сам по себе является заменой очень небезопасного стандарта WEP. Он шифрует данные, передаваемые между вашим устройством и маршрутизатором, чтобы их не мог перехватить кто-то рядом с вами.
Точка беспроводного доступа (часто встроенная в потребительские маршрутизаторы) объявляет имя своей беспроводной сети, известное как ее SSID (идентификатор набора услуг). Это позволяет другим сетевым устройствам видеть его и подключаться к нему. Если точка доступа использует WPA2, клиентскому устройству будет предложено ввести учетные данные безопасности: оно должно будет предоставить пароль, который администратор маршрутизатора ранее предоставил своему пользователю.
Современное развертывание WPA2 будет использовать протокол безопасности CCMP с шифрованием AES. Ваш пароль Wi-Fi сам по себе не является ключом шифрования AES, но используется в начале процесса аутентификации, который позволяет аппаратным устройствам обмениваться ключами.
Существует множество аббревиатур и аббревиатур, связанных с WPA2, большинство из которых вы можете спокойно игнорировать, если вы убедитесь, что выбрали параметр безопасности WPA2, помеченный как AES или CCMP.
WPA2-PSK, в котором бит PSK означает предварительный общий ключ. Также известная как WPA2-Personal, это версия стандарта, в которой нет отдельного сервера для аутентификации устройств. Его используют беспроводные маршрутизаторы и точки доступа для дома и малого бизнеса.
AES расшифровывается как Advanced Encryption Standard. AES используется стандартным CCMP WPA2 (который в конечном итоге является сокращением от протокола кода аутентификации сообщений с цепочкой блоков шифрования в режиме счетчика). AES — это форма надежного симметричного шифрования, используемая во всем, от стандарта HTTPS, который шифрует веб-трафик, до вашего менеджера паролей. Это тот, который вы хотите использовать на своем домашнем маршрутизаторе WPA2.
TKIP — это устаревший протокол целостности временного ключа. Этот уже устаревший стандарт позволял беспроводным точкам доступа и их подключенным клиентам генерировать новые ключи шифрования для каждого отправленного пакета, что значительно усложняло расшифровку сетевого трафика кем-то, кто перехватывает его извне. Стандарт WPA-TKIP был обратно совместим с WEP, но намного сильнее, чем система аутентификации с неизменяемым ключом WEP. Впоследствии он подвергся атакам и больше не должен использоваться. Многие современные устройства его вообще не поддерживают.
Преемник WPA, WPA3, был представлен в 2018 году, и его можно найти на некоторых последних устройствах Wi-Fi, таких как Netgear Orbi RBKE963 Wi-Fi 6E Mesh System. WPA3 заменяет обмен предварительными общими ключами более надежной системой согласования ключей на основе пароля, называемой одновременной аутентификацией равных (SEQ).
Все маршрутизаторы WPA3 обратно совместимы с устройствами WPA2, поэтому вам не нужно беспокоиться о неподдерживаемом комплекте, если вы не являетесь особенно необычным граничным случаем. По возможности обновляйтесь до WPA3, но знайте, что его очень редко можно найти на обычном потребительском сетевом оборудовании. А пока вот несколько советов, которые помогут вам обеспечить безопасность вашей настройки WPA2.
Советы по безопасности WPA2
Убедитесь, что ваш маршрутизатор поддерживает как минимум WPA2-AES. Если вы все еще используете очень старое оборудование, использующее стандарт WPA2-TKIP, немедленно переключитесь на AES и обновите свое сетевое оборудование, чтобы сделать это, если вам нужно.
Используйте пароль Wi-Fi. Пожалуйста, не оставляйте свою основную сеть открытой и незащищенной для посторонних. Это как угроза безопасности, так и юридическая угроза, поскольку вы потенциально несете ответственность за действия других лиц, использующих вашу локальную сеть.
Сделайте свой пароль Wi-Fi хорошим. Никто не хочет вводить 32-символьную строку случайных букв и цифр на крошечных сенсорных экранах или циферблатах, но вы не хотите, чтобы ваш пароль было тривиально легко угадать. Здесь хорошим выбором будет пароль из трех или четырех слов Diceware.
Меняйте пароль, когда вам это нужно. Если у всех в вашем районе есть ваш пароль Wi-Fi, пора его изменить, но не забудьте обновить все устройства, которые вам нужны, чтобы оставаться подключенными к вашей домашней сети Wi-Fi.
Создайте гостевую сеть Wi-Fi, если ваш маршрутизатор поддерживает ее. Это отдельная сеть Wi-Fi для посетителей. Как правило, они не будут иметь доступа к локальной сети, поэтому ваши общие файлы и устройства останутся конфиденциальными, но смогут подключаться к сети. Дайте ему приличный пароль, но, поскольку у него нет доступа к локальной сети, вам не нужно об этом беспокоиться.
Убедитесь, что ваш беспроводной маршрутизатор и интерфейсы администратора точек доступа имеют надежные пароли. Если кто-то неавторизованный получит доступ к вашей сети, будь то через Wi-Fi или подключившись к сети, вы определенно не хотите, чтобы он перенастроил ваш брандмауэр, потому что вы оставили пароль по умолчанию «admin».
Wi-Fi удобен, но если все в вашем доме использует его, вам никогда не захочется менять пароль, даже когда вам это нужно. По возможности используйте проводной Ethernet — он также быстрее, чем Wi-Fi. Купите небольшой сетевой коммутатор, если вам нужны дополнительные порты. Я использую Netgear ProSafe GS108, чтобы убедиться, что в моей гостиной есть все необходимые порты Gigabit Ethernet.