What are the difference between WPA2-PSK and WPA2-EAP-PSK?
What are the differences between WPA2-PSK and WPA2 EAP-PSK? What are the pros and cons of using one configuration or the other?
2 Answers 2
WPA2 EAP-PSK uses WPA2-Enterprise to do an 802.1X authentication to server. It uses the PSK method of EAP and allows a client to authenticate with just the use of a PSK.
The pros of WPA2-PSK is that it is supported in every 802.11 device of relatively recent manufacture (2nd gen 802.11g or so). It is simple to set up and simple to use.
WPA2 EAP-PSK should be somewhat more secure in that it would be harder to calculate the PSK from captured traffic. However, many of the same vulnerabilities exist if an attacker were able to get a hold of the PSK (social engineering, written down, etc).
There are a number of drawbacks:
- Like other WPA2-Enterprise methods, you need to have an authentication server set up to authenticate against which adds complexity.
- Both the server and the client supplicant need to support the EAP method. AFAIK, only wpa_supplicant has support for EAP-PSK and you will not find this native on most devices.
- EAP-PSK has never passed the «experimental» stage of development.
- There doesn’t seem to be a lot of interest in it, either people don’t want the complexity of WPA2-Enterprise at all (even with a simple authentication method) or they are content to use other more widely supported EAP methods.
Generally speaking, just like WPA2-PSK, there is only one PSK for all client devices. I would imagine it is at least possible (in theory) to configure your RADIUS server to provide different PSK depending on MAC. However, this would make the configuration of the server much more complicated and remove the one real advantage EAP-PSK has over other EAP methods, simplicity.
@YLearn, if it’s all one password for all clients, what’s really the point of having a whole RADIUS server to authenticate with just a single password?!
@cnst, a PSK isn’t a password, it is used as the PMK (pairwise master key) for both sides to generate the encryption key or PTK (pairwise transient key). With PSK, all devices use the same PMK so someone with the PSK and the four way handshake (when the PTK is generated/exchanged) is also captured, that someone can decrypt the traffic. With EAP-PSK an 802.1X authentication takes place with a RADIUS server and the RADIUS server returns unique PMK material for each successful authentication. WPA2-Enterprise is always more secure than WPA2-PSK.
The major distinction between the two should not be about cryptography. WPA2-PSK, provided the shared password is of sufficient complexity, is unbreakable given current resources. The use of WPA-EAP-PSK or any WPA Enterprise (i.e. EAP) implementation should not be in an effort to increase the cryptographic strength of a wireless network but to provide other benefits such as granular control over who or what connects to the network.
With the EAP options under WPA-Enterprise each user and device can have its own credentials and this increases control and auditing. However, some of those options are very cryptographically weak. To use an analogy, WPA-PSK is like having a dead bolt on your company door and providing every employee the same key. WPA-Enterprise/EAP is like having an key card system that electronically unlocks the door. To carry the analogy further, while those key cards give great control and auditing for each employee, the underlying lock often is weaker than the good old-fashioned deadbolt.
Back to the crypto, with a 256 bit key, the only feasible attack is to capture the wireless handshake and then run a dictionary attack. As long as you choose a password of such complexity that it wouldn’t appear in a dictionary list, WPA-PSK will be unbreakable. Now, if you have a need or concern about all users or devices sharing one key because of social engineering, trust, etc., then you do need to look at EAP/Enterprise options, but cryptographically, you’re probably not going to beat WPA-PSK.
Тип безопасности для WI-FI: что такое WPA, WPA2 PSK, шифрование
Сегодня распространение сетей беспроводного доступа стало таким обширным, особенно в мегаполисах, что мы уже не представляем себе погружение в интернет без них. WI-FI есть в каждой доме, офисе и местах общего посещения. Но для того, чтобы входить в сеть и хранить там свои данные безопасно, необходимо использовать защитные технологии. Их можно найти и применить в параметрах подключения. Давайте в данной статье разберемся – какие настройки и для чего нам нужны.
Варианты защиты
Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:
Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.
Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.
WPA
Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название – Wi-Fi Protected Access – защищенный доступ Wi-Fi.
И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.
Давайте подробнее остановимся на видах WPA2:
- WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.
- WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.
Часто по умолчанию в настройках роутера через компьютер можно увидеть общий режим WPA/WPA2. Он используется для избежания проблем с подключением устаревших моделей телефонов и планшетов пользователей.
Шифрование беспроводной сети
Коротко рассмотрим и алгоритмы шифрования. Их два вида – TKIP и AES. Первый алгоритм поддерживают только устаревшие устройства, поэтому при настройке доступа лучше установить режим «Авто». Если мы выбрали режим WPA2 Personal, то по умолчанию будет предложено только шифрование по AES.
WPA2 Enterprise
Пара слов о данном виде WPA Enterprise. Для использования необходимо иметь в нашей сети RADIUS-сервер. Для любого девайса выдается свой ключ шифрования, который уникален и создается прямо во время аутентификации на сервере.
Как же тогда подключается устройство к сети Wi-Fi? Сначала происходит обмен данными. Затем информация доходит до RADIUS-сервера, где выполняется аутентификация устройства: RADIUS-сервер смотрит, есть ли в его базе такое устройство, проверяет вводимые данные login и password, затем дает разрешение на подключение или запрещает соединение. После положительной проверки беспроводная точка открывает доступ в сеть нашему устройству.
Пароль для сети
После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?
Определимся с величиной – 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.
Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.
Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!
Первый в мире автор-хомяк. Админ нашего паблика ВК. Домашний питомец пропавшего WiFi Гида и обладатель большой семьи. Треш, зерно и AC/DC — никакой слабости.
Всем привет! Вообще настройки мобильного интернета от Ростелеком устанавливаются автоматически при первом включении телефона
Здравствуйте мне надо срочно поменять пороль к Wi-Fi. Я незнаю как поменять. Как можно вызвать специалистов.
Прямо вопрос жизни и смерти? К сожалению, мы пока не имеем выездных специалистов( Да и вообще помогаем добровольно.
Поэтому, т.к. вы не написали абсолютно ничего и ни о чем, скидываем наше руководство по смене пароля:
https://wifigid.ru/sovety-po-nastrojke-routerov/kak-pomenyat-parol-na-wi-fi-routere
Драсти! Во имя AC/DC в отношении меня CTRL+ALT+DELETE не жми! Нужон хелп, братья, помогите.
Наличие:
– Smart Box Beeline;
– горит красный огонёк;
– соединение с Сетью стабильное, т.е. в пределах предоставленного 100Mbit провайдыром и в сей день именуемым “беляшом в полоску пережаренным”;
– TV работает хорошо.
Из выше сказанного всё как прежде, но… проблема. Проблема (и проблема ли это – помогите выяснить):
– горит огонь красный на роутере том Smart Box`ом званым, вместо того, чтобы синим пылать и на том же самом месте и это тревожит и вызывает опасения мои, мои братья. Что делал: да сидел работал, как обычно, и загорелась красным цветом. Посчитал, что не оплатил или пора платить, потому как обычно так и бывает, когда билайн как бы намекает так на оплату. Но не в этот раз. Что дальше делал: в настройки не полез, потому как посчитал, что они (по скринам) очень похожи друг на друга с того дня когда сеть в дом проводилась – а значит не лезь. Отключение на 2 минуты. Ребут. перенастройка паролей и имен, где надо, но всё это не то, да итак ясно. Что делать не знаю 
. ДА! Звонил в СП билайна. В общем ни про что и ни о чём как бы. Ничто путного не услышал с того конца беспроводного провода, кроме того, что сказали “сеть не запаролена”. И каким чудом такое быть возможно… “То есть в двери есть замок, у меня ключ, и замок этот получается взаимодейтствует только под мой ключ, а всем остальным ни ключа ни даже замка в двери нет что ли…” – мой ответ билайну. Но там и на гостевую, и на всё абсолютно сложные пароли “приложены”, а мобильные устройства показывают замок на Wi-Fi, который пароль доступа жаждет выяснить. Роутер куплен. Может потому не помогли в саппорте. * * * Хомяк и братья, товарищи, выручайте, выдайте знания, пожалуйста, беда в общем – она меня падбешивайть смачно 
С Новым годом 2022!