WPA2

Standard szyfrowania zabezpieczający sieci bezprzewodowe Wi-Fi przed nieautoryzowanym dostępem.

WPA2 (Wi-Fi Protected Access 2) to standard zabezpieczania sieci Wi-Fi, który od 2004 roku był domyślnym sposobem szyfrowania ruchu bezprzewodowego i kontroli, kto może się do sieci podłączyć. Opiera się na specyfikacji IEEE 802.11i i jego najważniejszą cechą jest użycie szyfrowania AES w trybie CCMP — czyli czegoś naprawdę mocnego, w przeciwieństwie do dziurawego poprzednika WEP i przejściowego WPA z protokołem TKIP.

WPA2 działa w dwóch wariantach. WPA2-Personal (PSK) to ten, który masz w domu: jedno hasło współdzielone (Pre-Shared Key), z którego router wylicza klucze sesji. WPA2-Enterprise to wersja firmowa — zamiast jednego hasła używa serwera RADIUS i protokołu 802.1X, dzięki czemu każdy użytkownik loguje się własnym kontem. W obu przypadkach przy łączeniu zachodzi tzw. 4-way handshake, podczas którego klient i punkt dostępowy negocjują klucze szyfrujące, nie przesyłając hasła otwartym tekstem.

Przykład z praktyki

Chcesz sprawdzić, jakim standardem chroniona jest sieć obok? Na Linuksie wystarczy:

nmcli -f SSID,SECURITY device wifi list

W kolumnie SECURITY zobaczysz np. WPA2 albo WPA2 WPA3 (tryb mieszany). Pentesterzy z kolei używają pakietu aircrack-ng: przechwytują 4-way handshake (airodump-ng), a potem próbują złamać hasło słownikowo offline. To dobrze pokazuje, gdzie leży słaby punkt WPA2-Personal — nie w samym AES, tylko w zbyt prostym haśle.

Częste błędy i mity

  • „WPA2 jest nie do złamania” — nieprawda. Atak KRACK (2017) pokazał lukę w samym handshake, a słabe hasła PSK łamie się słownikiem w godziny.
  • Mylenie WPA2 z WPA2-TKIP — jeśli router działa w trybie zgodności z TKIP, tracisz część bezpieczeństwa i wydajności. Wybieraj WPA2-AES (CCMP).
  • Hasło 8 znaków „bo minimum” — to dolny limit, nie rekomendacja. Im dłuższe i bardziej losowe, tym lepiej.

Jeśli sprzęt na to pozwala, rozważ przejście na WPA3 (od 2018), który łata słabości handshake’u dzięki mechanizmowi SAE. WPA2 wciąż jest jednak najpowszechniejszym standardem i przez lata pozostanie bezpiecznym minimum.

Pojęcia powiązane: WPA3, WEP, AES, CCMP, TKIP, 4-way handshake, WPA2-Enterprise, RADIUS, 802.1X, KRACK, PSK, SSID.