Je WPA2 v roce 2026 stále bezpečný?

Se silnou přístupovou frází ano pro většinu modelů hrozeb. Známé útoky (KRACK, PMKID) jsou většinou zmírněny v opraveném firmwaru. Pro protivníky na národní úrovni nebo scénáře sdílených tenantů je odvození klíče WPA3 podle uživatele podstatně silnější.

Může můj soused vidět, co dělám, když je na mé Wi-Fi?

Pokud mají přístupovou frázi, ano – mohou zachytit handshake, odvodit klíče vaší relace a dešifrovat váš provoz Wi-Fi. Vyšší vrstva šifrování (HTTPS) stále chrání obsah většiny webového provozu, ale vidí cíle, načasování a jakýkoli prostý textový protokol. Důvěřujte ostatním uživatelům Wi-Fi přibližně stejně jako ostatním lidem ve vašem domě.

Chrání mě VPN na otevřené Wi-Fi?

Ano. VPN šifruje spojení mezi vaším zařízením a serverem VPN, takže místní Wi-Fi vidí pouze šifrovaný tunel. Otevřená Wi-Fi bez VPN zpřístupní veškerý váš provoz komukoli se zachycením paketů – ačkoli HTTPS chrání většinu obsahu, metadata jsou stále viditelná.

Mám skrýt své SSID?

Žádná bezpečnostní výhoda. SSID je součástí klientských sond („je zde síť MyHomeWifi?“), takže jej z vašich zařízení uslyší každý, kdo skenuje. Skrytí SSID jen trochu ztíží vaši síť pro legitimní uživatele, přičemž útočníky vůbec nezpomalí.

Jaký je rozdíl mezi AES-CCMP a AES-GCMP ve Wi-Fi?

Oba jsou režimy ověřeného šifrování založené na AES používané ve Wi-Fi. CCMP je originál (režim CCM se 128bitovým klíčem, ve WPA2 a WPA3). GCMP-256 je přidán do WPA3-Enterprise pro 192bitovou úroveň zabezpečení. Oba jsou bezpečné; CCMP je univerzálnější.

Vysvětlení zabezpečení Wi-Fi: WPA2, WPA3 a historie bezdrátového šifrování

Každá síť Wi-Fi, ke které jste se od poloviny roku 2000 připojili, používala určitou variantu WPA – chráněný přístup Wi-Fi. Protokoly se vyvíjely v průběhu několika generací, z nichž každý opravuje slabiny předchozí a na rozdílech mezi nimi záleží na tom, jak bezpečné jsou vaše domácí a pracovní sítě.

Celé tělo článku je uvedeno níže v angličtině.

Zabezpečení

Wi-Fi je sada protokolů, které chrání provoz bezdrátové sítě před odposloucháváním a neoprávněným přístupem. Protože Wi-Fi vysílá rádiové signály všem v dosahu, je šifrování provozu a ověřování uživatelů zásadní. Bylo dodáno několik generací protokolů:

Generace zabezpečení Wi-Fi

WEP (Wired Equivalent Privacy) – původní šifrování Wi-Fi z roku 1997. Rozbité téměř okamžitě; obnovitelné klíče s několika minutami zachycení provozu. Nikdy by se nemělo používat.
WPA (Wi-Fi Protected Access) — oprava výpadku z roku 2003, zatímco byl dokončen WPA2. Používá míchání klíčů TKIP na stávajícím hardwaru WEP. Lepší než WEP, ale také nefunkční.
WPA2 — 2004, používá šifrování AES-CCMP. Běžný standard po dobu ~15 let. Stále považováno za bezpečné pro většinu modelů hrozeb při použití se silnou přístupovou frází.
WPA3 — 2018, řeší několik slabých stránek WPA2, zejména proti offline slovníkovým útokům na slabá přístupová fráze. Povinné na zařízení s certifikací Wi-Fi-6 od roku 2020.

Jak funguje WPA2 (široký tvar)

Pro domácí síť:

Směrovač a zařízení sdílejí přístupové heslo ("Z92Z2 klíč PSK," aPLXX předběžně pro zařízení). spojení, obě strany odvozují hlavní klíč z přístupové fráze přes PBKDF2 (10 000 iterací SHA-1, osoleného SSID).
A 4cestný handshake vytvoří klíče relace odvozené z hlavního klíče plus náhodné nonces.
Z toho se pak střídají klíče AESMP, rámce pravidelně.

Co WPA2 nechrání před

Offline slovníkovými útoky. Pokud útočník zachytí 4cestný handshake, může jej přepnout do režimu offline a hrubě vynutit přístupovou frázi. Slabá přístupová fráze (méně než 12 znaků, slova ze slovníku) je obnovitelná za několik hodin; silný (dlouhý náhodný) je výpočetně neproveditelný.
Ostatní uživatelé ve stejné síti. Klíč relace je odvozen pro každé zařízení, ale hlavní klíč je sdílen. Uživatel, který zná přístupovou frázi, může odvodit klíče relace ostatních uživatelů z pozorovaných handshakeů.
KRACK útok (2017). Opětovné použití nonces ve 4cestném handshake umožnilo v některých konfiguracích dešifrování provozu. Opravený firmware klienta a AP; starší zařízení mohou být stále zranitelná.
PMKID útok (2018). Aktivní zachycení prvního paketu souvisejícího s handshake v síti umožňuje prolomení offline bez čekání na připojení skutečného klienta.

Co WPA3 přidává

XPLZ5 vylepšení:

SAE (Simultaneous Authentication of Equals) nahrazuje PSK výměnou Diffie-Hellman, která zabraňuje útokům offline slovníku. I slabá přístupová fráze vyžaduje k útoku online interakci, což dramaticky zpomaluje hrubou sílu.
Forward secrecy — každá relace odvozuje nezávislé klíče. Kompromis hlavního klíče nedešifruje dříve zachycený provoz.
Větší velikosti klíčů — 192bitová možnost v WPA3-Enterprise pro případy použití s vysokým zabezpečením.
OWE (příležitostné) šifrování v bezdrátových sítích XPLZ57 přístupová fráze), takže Wi-Fi v kavárně je při přenosu stále šifrována, i když je síť „otevřená“.
Easy Connect (DPP) – integrace založená na QR kódu pro zařízení internetu věcí, která nemají obrazovky.

Xersonals Enterprise v82 režimy
WPA2 i WPA3 mají dva režimy:
Personal (PSK / SAE) — všichni používají stejnou přístupovou frázi. Standard pro domácí Wi-Fi.
Enterprise (802.1X) — každý uživatel má jedinečné přihlašovací údaje, obvykle prostřednictvím ověřování RADIUS. Firemní síť Wi-Fi, do které se přihlásíte pomocí svých pracovních údajů. Režim
Enterprise poskytuje odpovědnost pro jednotlivé uživatele, odvození individuálního klíče (bez sdíleného hlavního klíče) a odvolání. Povinné pro jakoukoli síť větší než hrstka důvěryhodných uživatelů.
Skrytá slabina: WPS
Wi-Fi Protected Setup (WPS) – funkce „připojení stisknutím tlačítka“ – má zásadní chybu v mnoha implementacích: 8místný kód PIN lze hrubě vynutit během několika hodin. Vždy deaktivujte WPS na vašem routeru. Pohodlí nestojí za bezpečnostní zásah; Začlenění DPP do WPA3 na základě QR kódu je moderní náhrada.
Praktická doporučení
Použijte WPA3, pokud je k dispozici, jinak WPA2. Z žádného důvodu nepoužívejte WPA ani WEP.
Strong passphrase. 16+ náhodných znaků nebo 5+ náhodných slov. Přístupové fráze Wi-Fi jsou prolomeny offline útoky; délka je jediná smysluplná obrana.
Zakázat WPS. Vždy.
Otočit v případě potřeby. Změnit heslo, když oprávněný uživatel odejde; jinak pravidelně.
Skryté SSID nejsou zabezpečení. SSID je vysíláno klienty, kteří se snaží připojit, i když AP nevysílá.
Hostovská síť pro návštěvníky. Samostatné hlavní SSID izolované od vašeho LAN.
Aktualizovat firmware routeru. Většina domácích routerů se dodává s chybami zabezpečení; aktualizace výrobce jsou zásadní.

Často kladené otázky

Je WPA2 v roce 2026 stále bezpečný?: Se silnou přístupovou frází ano pro většinu modelů hrozeb. Známé útoky (KRACK, PMKID) jsou většinou zmírněny v opraveném firmwaru. Pro protivníky na národní úrovni nebo scénáře sdílených tenantů je odvození klíče WPA3 podle uživatele podstatně silnější.
Může můj soused vidět, co dělám, když je na mé Wi-Fi?: Pokud mají přístupovou frázi, ano – mohou zachytit handshake, odvodit klíče vaší relace a dešifrovat váš provoz Wi-Fi. Vyšší vrstva šifrování (HTTPS) stále chrání obsah většiny webového provozu, ale vidí cíle, načasování a jakýkoli prostý textový protokol. Důvěřujte ostatním uživatelům Wi-Fi přibližně stejně jako ostatním lidem ve vašem domě.
Chrání mě VPN na otevřené Wi-Fi?: Ano. VPN šifruje spojení mezi vaším zařízením a serverem VPN, takže místní Wi-Fi vidí pouze šifrovaný tunel. Otevřená Wi-Fi bez VPN zpřístupní veškerý váš provoz komukoli se zachycením paketů – ačkoli HTTPS chrání většinu obsahu, metadata jsou stále viditelná.
Mám skrýt své SSID?: Žádná bezpečnostní výhoda. SSID je součástí klientských sond („je zde síť MyHomeWifi?“), takže jej z vašich zařízení uslyší každý, kdo skenuje. Skrytí SSID jen trochu ztíží vaši síť pro legitimní uživatele, přičemž útočníky vůbec nezpomalí.
Jaký je rozdíl mezi AES-CCMP a AES-GCMP ve Wi-Fi?: Oba jsou režimy ověřeného šifrování založené na AES používané ve Wi-Fi. CCMP je originál (režim CCM se 128bitovým klíčem, ve WPA2 a WPA3). GCMP-256 je přidán do WPA3-Enterprise pro 192bitovou úroveň zabezpečení. Oba jsou bezpečné; CCMP je univerzálnější.