WEP/WPA/WPA2加密標(biāo)準(zhǔn)有什么區(qū)別？

　　大多數(shù)的公共場合 WiFi 是不加密的，但居住區(qū)卻是常見一些使用 WAP 和 WAP2 加密標(biāo)準(zhǔn)的 Wi-Fi 信號。可能很多用戶在設(shè)置路由器加密標(biāo)準(zhǔn)的時(shí)候都比較費(fèi)解，WEP、WPA 和 WPA2 等加密標(biāo)準(zhǔn)都有什么區(qū)別呢？

　　WiFi加密標(biāo)準(zhǔn)重要嗎？

　　用戶購買路由器后首次啟動，登錄并設(shè)置密碼。選擇哪個(gè)安全加密標(biāo)準(zhǔn)的選項(xiàng)重要嗎？事實(shí)證明，非常重要，因?yàn)殡S著計(jì)算機(jī)硬件的進(jìn)步和不斷發(fā)現(xiàn)的漏洞，過去的加密標(biāo)準(zhǔn)面臨越來越高的風(fēng)險(xiǎn)。如果未做好網(wǎng)絡(luò)、計(jì)算機(jī)和數(shù)據(jù)的安全保密，麻煩可能隨之而來，例如有人劫持了你的網(wǎng)絡(luò)并用于非法活動，警察可能會首先找到你。了解加密協(xié)議并選擇路由器支持的最先進(jìn)加密標(biāo)準(zhǔn)至關(guān)重要（如果支持加密標(biāo)準(zhǔn)升級，請升級固件），選擇了合適的加密標(biāo)準(zhǔn)，網(wǎng)絡(luò)固若金湯；選錯了，加密形同虛設(shè)。

　　WEP 、 WPA 和 WPA2 Wi-Fi安全的歷史

　　20世紀(jì)90年代后期以來，Wi-Fi 安全算法已經(jīng)歷了多次升級。通過了解 Wi-Fi 安全的歷史，用戶將明白為什么應(yīng)該避免選用舊標(biāo)準(zhǔn)。

　　有線等效加密（ WEP ）

　　有線等效保密（ WEP ）是世界上使用最廣泛的 Wi-Fi 安全算法。因?yàn)闅v史的緣故，以及向后兼容的原因，很多路由器的控制面板中，用戶會發(fā)現(xiàn)該算法位于加密類型選擇菜單的首位。

　　WEP 于199年9月被批準(zhǔn)作為 Wi-Fi 安全標(biāo)準(zhǔn)。即使在當(dāng)時(shí)那個(gè)年代，第一版 WEP 的加密強(qiáng)度也不算高，因?yàn)槊绹鴮Ω黝惷艽a技術(shù)的限制，導(dǎo)致制造商僅采用了64位加密。當(dāng)該限制解除時(shí)，加密強(qiáng)度提升至128位。盡管后來還引入了256位 WEP 加密，但128位加密仍然是最常見的加密。

　　盡管經(jīng)過了修訂算法，加長密鑰等升級，但是隨著時(shí)間的推移，人們發(fā)現(xiàn)了 WEP 標(biāo)準(zhǔn)的許多漏洞，隨著計(jì)算能力的提高，利用難度也越來越低。早在2001年，就已經(jīng)有相關(guān)漏洞的 POC 驗(yàn)證測試，2005年美國聯(lián)邦調(diào)查局發(fā)布了公開演示（以增強(qiáng)人們對 WEP 標(biāo)準(zhǔn)缺陷的認(rèn)識），他們使用公開的免費(fèi)軟件在幾分鐘內(nèi)就破解了 WEP 的密碼。

　　盡管還進(jìn)行了種種改進(jìn)、變通，或支撐 WEP 系統(tǒng)的嘗試，但它仍然非常脆弱，依賴 WEP 的系統(tǒng)應(yīng)該進(jìn)行升級，如果不能進(jìn)行安全升級，就更換新產(chǎn)品吧。 Wi-Fi 協(xié)會于2004年宣布 WEP 正式退役。

　　Wi-Fi 訪問保護(hù)（ WPA ）

　　因?yàn)?WEP 加密標(biāo)準(zhǔn)頻出漏洞， Wi-Fi 協(xié)會推出了 WPA 加密標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)于2003年正式啟用，正是 WEP 正式退役的前一年。 WPA 設(shè)置最普遍的是 WPA-PSK（預(yù)共享密鑰），而且 WPA 使用了256位密鑰，明顯強(qiáng)于 WEP 標(biāo)準(zhǔn)中使用的64位和128位密鑰。

　　WPA 標(biāo)準(zhǔn)作出了一些重大變革，其中包括消息完整性檢查（確定接入點(diǎn)和客戶端之間傳輸?shù)臄?shù)據(jù)包是否被攻擊者捕獲或改變），和臨時(shí)密鑰完整性協(xié)議（TKIP）。 TKIP 采用的包密鑰系統(tǒng)，比 WEP 采用的固定密鑰系統(tǒng)更加安全。 TKIP 協(xié)議最后為高級加密標(biāo)準(zhǔn)（AES）所取代。

　　盡管 WPA 較之于 WEP 是有了很大的改善， WPA 標(biāo)準(zhǔn)仍然不夠安全。 TKIP 是 WPA 的核心組件，設(shè)計(jì)初衷是全為對現(xiàn)有 WEP 設(shè)備進(jìn)行固件升級。因此， WPA 必須重復(fù)利用 WEP 系統(tǒng)中的某些元素，最終也被黑客利用。

　　與 WEP 遭遇相同，通過 POC 驗(yàn)證和公開演示也被證明易受攻擊。有趣的是，對 WPA 的攻擊過程中，通常不是直接對 WPA 算法進(jìn)行攻擊（雖然此類攻擊已經(jīng)成功），而是對 WPA 推出的一個(gè)補(bǔ)充系統(tǒng) —— Wi-Fi保護(hù)設(shè)置（WPS），該設(shè)計(jì)的目的是為了方便建立連接。

　　Wi-Fi 訪問保護(hù) II（ WPA2 ）

　　WPA 標(biāo)準(zhǔn)于2006年正式被 WPA2 取代。 WPA 和 WPA2 之間最顯著的變化之一是強(qiáng)制使用 AES 算法和引入 CCMP （計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議）替代 TKIP 。

　　目前， WPA2 系統(tǒng)的主要安全漏洞很不起眼（漏洞利用者必須進(jìn)行中間人模式攻擊，從網(wǎng)絡(luò)內(nèi)部獲得授權(quán)，然后延續(xù)攻擊網(wǎng)絡(luò)上的其它設(shè)備）。因此， WPA2 的已知漏洞幾乎都限制在企業(yè)級網(wǎng)絡(luò)，所以，討論 WPA2 在家庭網(wǎng)絡(luò)上是否安全沒有實(shí)際意義。

　　不幸的是， WPA2 也有著 WPA 同樣的致使弱點(diǎn)， Wi-Fi 保護(hù)設(shè)置（ WPS ）的攻擊向量。盡管攻擊WPA/WPA2保護(hù)的網(wǎng)絡(luò)，需要使用現(xiàn)代計(jì)算機(jī)花費(fèi)2至14小時(shí)持續(xù)攻擊，但是我們必須關(guān)注這一安全問題，用戶應(yīng)當(dāng)禁用 WPS （如果可能，應(yīng)該更新固件，使設(shè)備不再支持 WPS ，由此完全消除攻擊向量）。

　　看到這里，你可能會自我感覺良好（因?yàn)槟阕孕诺貫?Wi-Fi 接入點(diǎn)選擇了最合適的加密方案），也可能有點(diǎn)緊張，因?yàn)槟氵x了 WEP （ WEP 在列表的第一位）。如果你真的選錯了，也不要煩惱，亡羊補(bǔ)牢。

　　針對目前的路由器， Wi-Fi 安全方案如下（從上到下，安全性依次降低）：

　　WPA2 + AES   ★★★★☆

　　WPA + AES   ★★★☆

　　WPA + TKIP / AES（ TKIP 僅作為備用方法）   ★★★

　　WPA + TKIP   ★★☆

　　WEP   ★★

　　Open Network 開放網(wǎng)絡(luò)（無安全性可言）

　　理想情況下，你會禁用 Wi-Fi 保護(hù)設(shè)置（ WPS ），并設(shè)置你的路由器 WPA2 + AES 。列表中的其它方案的安全性依次降低。如果你選擇 WEP ，你的安全水平是如此之低， WEP 加密就像是一道圍欄 —— 其作用只是宣稱這是個(gè)人財(cái)產(chǎn)，攻擊者只要想進(jìn)入就可以越過它。

　　WEP 、 WPA 和 WPA2 等加密標(biāo)準(zhǔn)都有被破解的可能，密碼是死的，對于無所不用其極的專業(yè)人士來說，修改網(wǎng)絡(luò)名稱并隱藏?zé)o線網(wǎng)絡(luò)ID是最好的辦法。