网站搜索

Wi-Fi 安全:您应该使用 WPA2-AES、WPA2-TKIP 还是两者都使用?

摘要:为了获得最大的安全性,如果您的网络上有较旧的设备,则应使用 WPA2 (AES);如果您有较新的路由器和支持它的较新设备,则应使用 WPA3。

您的 Wi-Fi 路由器提供加密选项,例如 WPA2-PSK (TKIP)、WPA2-PSK (AES) 和 WPA2-PSK (TKIP/AES),甚至,如果足够现代,WPA3 (AES)。这可能有点令人困惑,如果您选择了错误的选择,您的网络会变得更慢、更不安全。这是你需要知道的。

WPA2 与 WEP、WPA 和 WPA3

当您阅读 Wi-Fi 安全性时,主要关注点通常是用于保护无线连接的加密类型。毕竟,这是有道理的,因为根据 Wi-Fi 路由器的本质,您的客户端设备(如智能手机或笔记本电脑)与路由器之间的所有通信都是通过露天进行的。如果无线连接不安全,路由器范围内的任何人都可以窥探该通信,甚至可以访问您的路由器。

此无线连接使用专为 Wi-Fi 设计的安全算法进行保护。这些算法严格来说不仅仅是加密(尽管这是一个关键组成部分),还包括控制密钥交换和验证方式等的附加功能。

有线等效保密 (WEP)、Wi-Fi 保护访问 (WPA) 和 Wi-Fi 保护访问 II (WPA2) 是您在设置无线网络时会看到的主要安全算法。如果您有较新的路由器,您可能还会看到 Wi-Fi Protected Access III (WPA3)。

WEP 是最古老的,并且随着越来越多的安全漏洞被发现而被证明是脆弱的。 WPA 提高了安全性,但现在也被认为容易受到入侵。

WPA2 虽然不完善,但比 WEP 或 WPA 更安全,是使用最广泛的 Wi-Fi 安全算法之一。 WPA 和 WPA2 网络可以使用两种加密协议之一,临时密钥完整性协议 (TKIP) 和高级加密标准 (AES)。我们稍后会看看这两种加密协议之间的区别。

最后,WPA3 网络只使用 AES 加密协议。尽管在 2018 年推出,WPA3 仍未得到广泛采用。

AES 与 TKIP

TKIP 和 AES 是 Wi-Fi 网络可以使用的两种不同类型的加密。 TKIP 实际上是与 WPA 一起引入的一种较旧的加密协议,用于取代当时非常不安全的 WEP 加密。 TKIP 实际上与 WEP 加密非常相似。 TKIP 不再被认为是安全的,现已弃用。换句话说,你不应该使用它。

AES 是随 WPA2 引入的更安全的加密协议。 AES 也不是专门为 Wi-Fi 网络开发的一些老掉牙的标准。这是一个严肃的全球加密标准,甚至被美国政府采用。

例如,当您使用 TrueCrypt 加密硬盘驱动器时,它可以为此使用 AES 加密。 Window 的内置加密工具 BitLocker 也使用 AES,macOS 的工具 FileVault 也是如此。 AES 通常被认为是非常安全的,主要弱点是暴力攻击(通过使用强密码来防止)和 WPA2 其他方面的安全弱点。

简而言之,TKIP 是 WPA 标准使用的较旧的加密标准。 AES 是新的安全 WPA2 标准使用的较新的 Wi-Fi 加密解决方案。从理论上讲,这就是它的结束。但是,根据您的路由器,仅选择 WPA2 可能还不够好。

虽然 WPA2 应该使用 AES 以获得最佳安全性,但它也可以使用 TKIP,这需要与旧设备向后兼容。在这种状态下,支持WPA2的设备会连接WPA2,支持WPA的设备会连接WPA。所以“WPA2”并不总是意味着 WPA2-AES。但是,在没有可见“TKIP”或“AES”选项的设备上,WPA2 通常与 WPA2-AES 同义。

Wi-Fi 安全模式说明:您应该使用哪种?

困惑了吗?如果你是,不要难过。如果您不是顽固的网络极客,那么 Wi-Fi 安全世界是相当神秘的。值得庆幸的是,您无需了解安全协议和握手在各代 Wi-Fi 之间如何变化的复杂性。

您只需查看下面的列表,然后选择适用于您所有硬件和设备的最安全选项。为了帮助您避免使用旧的和不安全的选项,我们在它们的名称后用 [Deprecated] 标记了它们。

而且,需要明确的是,我们并不是武断地把守这些协议,并根据我们的意见宣布它们已被弃用。 Microsoft 和 Apple 也都指定了它们,这就是为什么 Windows 笔记本电脑会在 Wi-Fi 网络不安全时向您发出警告,而您的 iPhone 会在 Wi-Fi 网络安全性较弱时向您发出警告。

此外,我们没有在下面的列表中列出“企业”选项,因为企业或基于 RADIUS 服务器的 Wi-Fi 安全性在住宅环境中并不常见,并且需要额外的基础设施。

此外,请注意,根据您的路由器,非企业选项可能被指定为“个人”或“PSK”——PSK 代表“预共享密钥”,表示与企业设置不同,安全性不不依赖于身份验证服务器,而是依靠具有预共享密钥(Wi-Fi 密码)的用户输入作为身份验证方法。从 WPA2 开始,尤其是 WPA3,更常见的是“个人”而不是“PSK”。

考虑到这些注意事项,以下是您可能会在路由器上看到的选项。

  • Open [Deprecated]:开放 Wi-Fi 网络没有密码。你不应该设置一个开放的 Wi-Fi 网络——说真的,你可能会被警察破门而入。
  • WEP 64 [已弃用]:旧的 WEP 协议标准存在漏洞,您不应使用它。
  • WEP 128 [Deprecated]:这是 WEP,但具有更大的加密密钥大小。它实际上并不比 WEP 64 更容易受到攻击。
  • WPA-PSK (TKIP) [已弃用]:它使用 WPA 协议的原始版本(本质上是 WPA1)。它已被 WPA2 取代并且不安全。
  • WPA-PSK (AES) [已弃用]:它使用原始的 WPA 协议,但用更现代的 AES 加密取代了 TKIP。它作为权宜之计提供,但支持 AES 的设备几乎总是支持 WPA2,而需要 WPA 的设备几乎从不支持 AES 加密。所以,这个选项没有什么意义。
  • WPA2-PSK (TKIP) [已弃用]:它使用现代 WPA2 标准和较旧的 TKIP 加密。这并不安全,只有当您的旧设备无法连接到 WPA2-PSK (AES) 网络时,这才是一个好主意。
  • WPA2-PSK (AES):这是最安全的选项(较新的 WPA3 除外)。它使用 WPA2、最新的 Wi-Fi 加密标准和最新的 AES 加密协议。 除非您的路由器支持 WPA3,否则您应该使用此选项,然后改用它。在某些设备上,您只会看到选项“WPA2”或“WPA2-PSK”。如果您这样做,它可能只会使用 AES,因为这是一个常识性的选择。
  • WPA/WPA2-PSK (TKIP/AES):一些设备提供——甚至推荐——这种混合模式选项。此选项同时启用 WPA 和 WPA2,以及 TKIP 和 AES。这提供了与您可能拥有的任何旧设备的最大兼容性,但它也允许攻击者通过破解更易受攻击的 WPA 和 TKIP 协议来破坏您的网络。
  • WPA2/WPA3 Personal(AES):与 WPA/WPA2 混合模式一样,此模式专为向后兼容而设计。您的 WPA2-only 设备将使用 WPA2 (AES) 进行连接,而您的 WPA3 设备将使用更高级的协议。它也可能被标记为“WPA3 Transitional”或其变体。
  • WPA3 Personal (AES):较旧的路由器没有 WPA3,较旧的设备也无法使用 WPA3。但是,如果您拥有支持 WPA3 和所有更新设备的新路由器,则没有理由不完全切换到 WPA3。

WPA2 认证于 2004 年可用。2006 年,WPA2 认证成为强制性要求。任何 2006 年之后生产的带有“Wi-Fi”标识的设备都必须支持 WPA2 加密。 WPA3 认证于 2018 年推出,任何在 2020 年 7 月 1 日之后获得认证的设备都必须支持 WPA3。 (请注意使用经过认证的而非制造的,公司仍然可以制造和销售在采用新标准之前经过认证的旧设计。)

鉴于您网络上的每个 Wi-Fi 设备(包括路由器本身)很可能都是在 2006 年之后通过认证和制造的,因此您没有理由不使用低于 WPA2-PSK (AES) 的任何安全协议。您应该能够在路由器中选择该选项并且遇到零问题。

如果您有支持 WPA3 的较新路由器,我们建议尝试使用 WPA3 (AES) 以跳至最高安全级别。如果遇到任何问题,请切换到 WPA2/WPA3 混合 (AES)。这样,最新的设备将使用最好的安全性,而旧的设备将回退到 WPA2——无论哪种方式,它们都将使用 AES,这是理想的。

如果您没有更新的路由器,可能是时候回收它并升级到具有最新标准和所有 Wi-Fi 改进的当前 Wi-Fi 路由器了。您不需要购买最先进的 Wi-Fi 7 型号,但如果您还没有购买 Wi-Fi 6 或 Wi-Fi 6E,现在是一个很好的时机。

WPA 和 TKIP 会减慢您的 Wi-Fi 速度

也许你一直在阅读到目前为止并在想,“我真的不太关心安全性。”虽然我们鼓励您更加关注 Wi-Fi 网络安全,但我们知道这并不是每个人的当务之急。

因此,这是使用更好的 Wi-Fi 安全算法的令人信服的理由,每个人都可以落后。 WPA 和 TKIP 兼容性选项不仅从安全角度来看很糟糕。它们也会降低您的 Wi-Fi 网络速度。

当您在支持 802.11n 和更新、更快标准的路由器上运行 WPA/TKIP 时,它会减慢到 802.11g 速度 (54 Mbps),以确保与旧客户端的向后兼容性。这太慢了。

相比之下,如果您使用带 AES 的 WPA2,即使 802.11n (Wi-Fi 4) 也支持高达 300 Mbps 的速度。不过,现在大多数人都拥有更新的路由器。如果您有 802.11ac (Wi-Fi 5) 或 802.11ax (Wi-Fi 6) 路由器,并且您使用的是 WPA/TKIP,那么您将无法提高性能。

在 Wi-Fi 时代,802.11g 本质上是“Wi-Fi 2”,于 2003 年问世。没有充分的理由使用不安全、过时且速度慢的 Wi-Fi 安全标准。

如有疑问,请始终选择 WPA 2 (AES) 或 WPA3

到目前为止,我们已经说过多次,但最后一次是为了强调。如果您不确定在路由器上选择什么设置,请始终选择最安全的设置,对于 2010 年左右之后创建的任何路由,那就是 WPA 2 (AES) 或 WPA 3。

在我们看到的大多数 2018 年之前通过认证的路由器上,选项通常是 WEP、WPA (TKIP) 和 WPA2 (AES)——也许 WPA (TKIP) + WPA2 (AES) 兼容模式可以作为很好的衡量标准。如果这是您的路由器提供的功能,请将您的路由器设置为 WPA2 (AES)。

在 2018 年之后(尤其是 2020 年 7 月 1 日截止日期之后)获得认证的路由器上,您会发现 WPA3 和 WPA2/WPA3 兼容模式。我们强烈建议您尝试纯 WPA3 模式。如果一切正常,那就太好了!你正在尽你所能地使用最好的 Wi-Fi 安全设置。如果您发现家中有一些较旧的关键任务物品(如 Wi-Fi 恒温器)不能很好地与 WPS 配合使用,那么请退回到 WPA2/WPA3 兼容模式。

但无论您做什么,都是时候永久搁置所有次要的 Wi-Fi 安全协议,例如 WEP、WPA 和 WPA2 (TKIP)。