WEP so với WPA so với WPA2 và WPA3: Giải thích các loại bảo mật Wi-Fi

Bảo mật không dây là cực kỳ quan trọng. Phần lớn chúng ta kết nối thiết bị di động với bộ định tuyến vào một thời điểm nào đó trong ngày, có thể là điện thoại thông minh, máy tính bảng, máy tính xách tay hoặc các loại khác. Hơn nữa, các thiết bị Internet of Things kết nối với internet bằng Wi-Fi.

Họ luôn bật, luôn lắng nghe và luôn cần được bảo mật bổ sung.

Đó là nơi mã hóa Wi-Fi bước vào. Có một số cách khác nhau để bảo vệ kết nối Wi-Fi của bạn. Nhưng làm thế nào để bạn biết tiêu chuẩn bảo mật Wi-Fi nào là tốt nhất? Đây là cách thực hiện.

Các loại bảo mật Wi-Fi

Các loại bảo mật Wi-Fi phổ biến nhất là WEP, WPA, WPA2 và tiêu chuẩn gần đây nhất, WPA3.

WEP so với WPA: WPA là gì?

Quyền riêng tư tương đương có dây (WEP) là phương pháp mã hóa Wi-Fi lâu đời nhất và kém an toàn nhất. Thật nực cười khi WEP bảo vệ kết nối Wi-Fi của bạn khủng khiếp như thế nào và tất cả các lời khuyên bảo mật hữu ích đều cho rằng bạn không nên sử dụng mã hóa WEP Wi-Fi.

Hơn nữa, nếu bạn đang sử dụng bộ định tuyến cũ hơn chỉ hỗ trợ WEP, bạn cũng nên nâng cấp bộ định tuyến đó để bảo mật và kết nối tốt hơn.

Tại sao nó xấu? Crackers đã tìm ra cách phá mã mã hóa WEP và nó có thể dễ dàng thực hiện bằng các công cụ có sẵn miễn phí. Năm 2005, FBI đã tổ chức một cuộc biểu tình công khai bằng cách sử dụng các công cụ miễn phí để nâng cao nhận thức. Thật không may, hầu như ai cũng có thể làm được. Do đó, Liên minh Wi-Fi đã chính thức ngừng sử dụng tiêu chuẩn mã hóa Wi-Fi WEP vào năm 2004.

Bây giờ, bạn nên sử dụng phiên bản WPA — lý tưởng nhất là phiên bản mới nhất! Một cách dễ hiểu, có nhiều cách bạn có thể tìm ra loại mã hóa Wi-Fi mà kết nối hiện tại của bạn đang sử dụng.

WPA và WPA2

Truy cập được bảo vệ bằng Wi-Fi (WPA) là sự phát triển của tiêu chuẩn WEP không an toàn. WPA ra mắt vào năm 2003 nhưng chỉ là bước đệm cho WPA2, ra mắt vào năm 2004.

Khi rõ ràng WEP không an toàn một cách khủng khiếp, Wi-Fi Alliance đã phát triển WPA để cung cấp cho các kết nối mạng một lớp bảo mật bổ sung trước khi phát triển và giới thiệu WPA2. Các tiêu chuẩn bảo mật của WPA2 luôn là mục tiêu mong muốn. Bạn có thể đọc thêm về bảo mật và mã hóa được cung cấp bởi WPA2 trong phần tiếp theo.

WPA3

Phần lớn các bộ định tuyến và kết nối Wi-Fi sử dụng WPA2. Ít nhất, đó phải là mức mã hóa tối thiểu vì ngay cả với các lỗ hổng của WPA2, nó vẫn được bảo mật.

Tuy nhiên, bản nâng cấp mới nhất cho Wi-Fi Protected Access, WPA3, đã chính thức ra mắt vào năm 2018. Thật không may, mặc dù tiêu chuẩn cập nhật ra mắt để thay thế cho WPA2, phần lớn các bộ định tuyến Wi-Fi vẫn sử dụng tiêu chuẩn cũ hơn. Đó là bởi vì hầu hết các bộ định tuyến không tương thích ngược với tiêu chuẩn mới và hầu hết mọi người không thay đổi bộ định tuyến của họ đủ thường xuyên để nâng cấp.

Tuy nhiên, WPA3 bao gồm một số nâng cấp quan trọng cho bảo mật không dây hiện đại, bao gồm:

• Bảo vệ vũ phu: WPA3 sẽ bảo vệ người dùng, ngay cả với các mật khẩu yếu hơn, khỏi các cuộc tấn công từ điển brute-force (các cuộc tấn công cố gắng đoán mật khẩu nhiều lần).
• Quyền riêng tư của Mạng Công cộng: WPA3 bổ sung thêm “mã hóa dữ liệu cá nhân”, về mặt lý thuyết mã hóa kết nối của bạn với điểm truy cập không dây bất kể mật khẩu.
• Bảo mật Internet of Things: WPA3 bổ sung hỗ trợ bảo mật cho các nhà phát triển thiết bị Internet of Things (IoT), những người vẫn chịu áp lực cải thiện bảo mật IoT.
• Mã hóa mạnh hơn: WPA3 bổ sung mã hóa 192-bit mạnh hơn nhiều vào tiêu chuẩn, cải thiện đáng kể mức độ bảo mật.

Hiện có rất nhiều bộ định tuyến WPA3 trên thị trường bộ định tuyến tiêu dùng, mặc dù phải mất một khoảng thời gian kể từ khi WPA3 ra mắt vào năm 2018 thì chúng mới bắt đầu xuất hiện. Như với tất cả các tiêu chuẩn mới, bắt đầu hấp thụ thường chậm và việc chuyển từ WEP sang WPA sang WPA2 cũng mất một khoảng thời gian.

Kể từ tháng 7 năm 2020, tất cả các thiết bị tìm kiếm chứng nhận Wi-Fi phải hỗ trợ WPA3. Vì vậy, nếu bạn đã mua bộ định tuyến Wi-Fi từ năm 2020 trở đi, bộ định tuyến đó sẽ hỗ trợ WPA3 và bạn có thể bắt đầu sử dụng tiêu chuẩn mã hóa Wi-Fi mạnh hơn. Bạn nên lưu ý rằng mặc dù bộ định tuyến mới của bạn sử dụng WPA3 nhưng các thiết bị của bạn có thể không. Bộ định tuyến WPA3 hỗ trợ chế độ Chuyển tiếp WPA2 / WPA3, một chế độ hỗn hợp đặc biệt sử dụng WPA3-Personal (xem thêm về điều này bên dưới) và WPA2-Personal, cho phép các thiết bị cũ hơn không hỗ trợ WPA3 kết nối với bộ định tuyến.

Việc đặt bộ định tuyến Wi-Fi của bạn để chỉ sử dụng WPA3 có thể gây ra sự cố kết nối cho các thiết bị cũ hơn không hỗ trợ tiêu chuẩn mã hóa Wi-Fi mới hơn.

WPA so với WPA2 và WPA3: Sự khác biệt là gì?

Có ba lần lặp lại Quyền truy cập được bảo vệ bằng Wi-Fi. Nhưng điều gì khiến chúng khác biệt với nhau? Tại sao WPA3 tốt hơn WPA2?

WPA vốn dĩ dễ bị tổn thương

WPA đã bị tiêu diệt ngay từ đầu. Mặc dù có tính năng mã hóa khóa công khai mạnh hơn (so với WEP), sử dụng 256-bit WPA-PSK (Khóa chia sẻ trước), WPA vẫn chứa một chuỗi lỗ hổng mà nó kế thừa từ tiêu chuẩn WEP cũ hơn (cả hai đều chia sẻ tiêu chuẩn mã hóa luồng dễ bị tổn thương, RC4).

Các lỗ hổng tập trung vào sự ra đời của Giao thức toàn vẹn khóa tạm thời (TKIP).

Bản thân TKIP đã là một bước tiến lớn ở chỗ nó sử dụng hệ thống khóa trên mỗi gói để bảo vệ từng gói dữ liệu được gửi giữa các thiết bị. Thật không may, việc triển khai TKIP WPA đã phải tính đến các thiết bị WEP cũ.

Hệ thống TKIP WPA mới đã tái chế một số khía cạnh của hệ thống WEP bị xâm nhập, và tất nhiên, những lỗ hổng tương tự đó cuối cùng đã xuất hiện trong tiêu chuẩn mới hơn.

WPA2 Thay thế WPA

WPA2 chính thức thay thế WPA vào năm 2006. Sau đó, WPA đã có một thời gian ngắn là đỉnh cao của mã hóa Wi-Fi.

WPA2 mang theo một loạt các nâng cấp bảo mật và mã hóa khác, đáng chú ý nhất là sự ra đời của Tiêu chuẩn mã hóa nâng cao (AES) cho các mạng Wi-Fi của người tiêu dùng. AES về cơ bản mạnh hơn RC4 (vì RC4 đã bị bẻ khóa nhiều lần) và là tiêu chuẩn bảo mật cho nhiều dịch vụ trực tuyến.

WPA2 cũng đã giới thiệu Chế độ mật mã bộ đếm với Giao thức mã xác thực tin nhắn chuỗi khối (CCMP, cho phiên bản ngắn hơn nhiều!) Để thay thế TKIP hiện đang dễ bị tấn công.

TKIP vẫn là một phần của tiêu chuẩn WPA2 như một dự phòng và cung cấp chức năng cho các thiết bị chỉ sử dụng WPA.

Tấn công WPA2 KRACK

Đòn tấn công KRACK được đặt tên hơi buồn cười không phải là vấn đề đáng cười; đó là lỗ hổng nghiêm trọng đầu tiên được tìm thấy trong WPA2. Cuộc tấn công cài đặt lại khóa (KRACK) là một cuộc tấn công trực tiếp vào giao thức WPA2 và, thật không may, làm tổn hại hiệu quả mọi kết nối Wi-Fi sử dụng WPA2.

Về cơ bản, KRACK làm suy yếu một khía cạnh quan trọng của bắt tay bốn chiều WPA2, cho phép tin tặc đánh chặn và thao túng việc tạo các khóa mã hóa mới trong quy trình kết nối an toàn.

Ngay cả khi có khả năng xảy ra một cuộc tấn công KRACK, khả năng ai đó sử dụng nó để tấn công mạng gia đình của bạn là rất nhỏ.

WPA3: Liên minh (Wi-Fi) tấn công trở lại

Ra mắt vào năm 2018, WPA3 đã khắc phục được sự chậm trễ và cung cấp khả năng bảo mật cao hơn nhiều đồng thời chủ động tính đến các phương pháp bảo mật thiếu sót mà mọi người đôi khi mắc phải. Ví dụ: WPA3-Personal cung cấp mã hóa cho người dùng ngay cả khi tin tặc bẻ khóa mật khẩu của bạn sau khi bạn kết nối với mạng.

Hơn nữa, WPA3 yêu cầu tất cả các kết nối phải sử dụng Khung quản lý được bảo vệ (PMF). PMF về cơ bản tăng cường bảo vệ quyền riêng tư, với các cơ chế bảo mật bổ sung được áp dụng để bảo mật dữ liệu.

AES 128-bit vẫn được duy trì cho WPA3 (một minh chứng cho khả năng bảo mật lâu dài của nó). Tuy nhiên, đối với các kết nối WPA3-Enterprise, yêu cầu AES 192-bit. Người dùng WPA3-Personal cũng sẽ có tùy chọn sử dụng AES 192-bit siêu mạnh. Trên đó, có ba phiên bản của WPA3:

• WPA3-Cá nhân
• WPA3-Enterprise
• Mở nâng cao Wi-Fi

Hai điều đầu tiên khá dễ hiểu. Thứ ba, Wi-Fi Enhanced Open, được thiết kế để cung cấp mã hóa Wi-Fi cho người dùng trên các mạng “mở”. Trước đây, kết nối với một mạng mở đã (và là!) Là một vấn đề bảo mật. Wi-Fi Enhanced Open của WPA3 cung cấp mã hóa dữ liệu chưa được xác thực, có nghĩa là bạn sẽ nhận được một số biện pháp bảo vệ chống lại các mối đe dọa bảo mật, giảm thiểu một số rủi ro khi sử dụng Wi-Fi công cộng. Tuy nhiên, đừng kết nối với bất kỳ mạng Wi-Fi cũ nào nếu nó sử dụng WPA3. Như đã đề cập trước đây, nhiều bộ định tuyến Wi-Fi vẫn sử dụng WPA2.

Khóa chia sẻ trước WPA2 là gì?

WPA2-PSK là viết tắt của Pre-Shared Key. WPA2-PSK còn được gọi là chế độ Cá nhân, và nó được thiết kế cho các mạng gia đình và văn phòng nhỏ.

Bộ định tuyến không dây của bạn mã hóa lưu lượng mạng bằng một khóa. Với WPA-Personal, khóa này được tính từ cụm mật khẩu Wi-Fi mà bạn thiết lập trên bộ định tuyến của mình. Trước khi một thiết bị có thể kết nối với mạng và hiểu mã hóa, bạn phải nhập cụm mật khẩu của mình trên đó.

Điểm yếu chính trong thế giới thực với mã hóa WPA2-Personal là cụm mật khẩu yếu. Cũng giống như nhiều người sử dụng mật khẩu yếu như “password” và “letmein” cho tài khoản trực tuyến của họ, nhiều người có thể sẽ sử dụng mật khẩu yếu để bảo mật mạng không dây của họ. Bạn phải sử dụng cụm mật khẩu mạnh hoặc mật khẩu duy nhất để bảo mật mạng của mình, nếu không WPA2 sẽ không bảo vệ bạn nhiều.

WPA3 SAE là gì?

Khi bạn sử dụng WPA3, bạn sẽ sử dụng một giao thức trao đổi khóa mới được gọi là Xác thực đồng thời các công bằng (SAE). SAE, còn được gọi là Dragonfly Key Exchange Protocol, là một phương pháp trao đổi khóa an toàn hơn nhằm giải quyết lỗ hổng KRACK. Loại bỏ việc sử dụng lại các khóa mã hóa là một phần quan trọng của quá trình này, đảm bảo bất kỳ ai theo dõi hoặc nói cách khác không thể sử dụng lại các khóa hiện có.

Cụ thể, nó có khả năng chống lại các cuộc tấn công giải mã ngoại tuyến thông qua “bảo mật chuyển tiếp”. Bí mật chuyển tiếp ngăn kẻ tấn công giải mã kết nối internet đã ghi trước đó, ngay cả khi chúng biết mật khẩu WPA3.

Ngoài ra, WPA3 SAE sử dụng kết nối ngang hàng để thiết lập trao đổi và loại bỏ khả năng người trung gian độc hại chặn các khóa.

Dưới đây là giải thích về ý nghĩa của “trao đổi khóa” trong ngữ cảnh mã hóa, sử dụng sàn giao dịch Diffie-Hellman tiên phong làm ví dụ.

Wi-Fi Easy Connect là gì?

Wi-Fi Easy Connect là một tiêu chuẩn kết nối mới được thiết kế để “đơn giản hóa việc cung cấp và cấu hình thiết bị Wi-Fi.”

Trong đó, Wi-Fi Easy Connect cung cấp mã hóa khóa công khai mạnh mẽ cho từng thiết bị được thêm vào mạng, ngay cả những thiết bị “có ít hoặc không có giao diện người dùng, chẳng hạn như nhà thông minh và các sản phẩm IoT.”

Ví dụ, trong mạng gia đình của bạn, bạn sẽ chỉ định một thiết bị làm điểm cấu hình trung tâm. Điểm cấu hình trung tâm phải là thiết bị đa phương tiện, như điện thoại thông minh hoặc máy tính bảng.

Sau đó, thiết bị đa phương tiện được sử dụng để quét mã QR chạy giao thức Wi-Fi Easy Connect do Wi-Fi Alliance thiết kế.

Quét mã QR (hoặc nhập mã dành riêng cho thiết bị IoT) mang lại cho thiết bị kết nối sự bảo mật và mã hóa giống như các thiết bị khác trên mạng, ngay cả khi không thể cấu hình trực tiếp.

Wi-Fi Easy Connect, kết hợp với WPA3, sẽ tăng mạnh tính bảo mật của IoT và mạng thiết bị gia đình thông minh.

WPA3 có an toàn không? WPA3 đã bị bẻ khóa chưa?

WPA3 an toàn hơn WPA2 và tuyệt đối an toàn hơn WPA và WEP. Tuy nhiên, WPA3 không phải là không có vấn đề và nó có lỗ hổng bảo mật.

Vào năm 2019, các nhà nghiên cứu Mathy Vanhoef (NYUAD) và Eyal Ronen (Đại học Tel Aviv & KU Leuven) đã phát hiện ra một loạt lỗ hổng WPA3 cho phép kẻ tấn công hạ cấp WPA3 và buộc thiết bị phải kết nối với mạng WPA2 giả mạo. Nếu thành công, lỗ hổng Dragonblood về mặt lý thuyết có thể đánh cắp thông tin nhạy cảm, đặc biệt nếu thiết bị không sử dụng HTTPS. Rất may, hầu hết các trang web và dịch vụ hiện nay đều sử dụng HTTPS theo mặc định, nhưng nó vẫn là một lỗ hổng WPA3.

WPA, WPA2, WPA3: Bạn nên sử dụng cái gì?

WPA2 vẫn là một phương pháp mã hóa Wi-Fi tương đối an toàn, thậm chí còn tính đến lỗ hổng KRACK. Trong khi KRACK chắc chắn là một vấn đề, đặc biệt là đối với mạng Doanh nghiệp, người dùng gia đình không có khả năng gặp phải cuộc tấn công kiểu này (tất nhiên trừ khi bạn là một cá nhân có giá trị cao).

Nếu có thể, bạn nên nâng cấp lên WPA3. Mặc dù WPA3 có các lỗ hổng bảo mật, giống như nhiều vấn đề về mã hóa Wi-Fi, nhưng phần lớn người dùng gia đình rất khó gặp phải các vấn đề như vậy và WPA3 đi kèm với một loạt các nâng cấp bảo mật khác khiến nó rất đáng giá.

Tuy nhiên, có một điều chắc chắn là WEP rất dễ bẻ khóa và bạn không nên sử dụng nó cho bất kỳ mục đích nào. Hơn nữa, nếu bạn có các thiết bị chỉ có thể sử dụng bảo mật WEP, bạn nên cân nhắc thay thế chúng để tăng cường bảo mật cho mạng của mình.