Je li WPA2 još uvijek siguran 2026.?

S jakom šifrom, da za većinu modela prijetnji. Poznati napadi (KRACK, PMKID) uglavnom su ublaženi u zakrpanom firmveru. Za neprijatelje na nacionalnoj razini ili scenarije dijeljenih zakupaca, WPA3 izvođenje ključa po korisniku značajno je jače.

Može li moj susjed vidjeti što radim ako je na mojoj Wi-Fi mreži?

Ako imaju zaporku, da — mogu snimiti rukovanja, izvesti vaše ključeve sesije i dekriptirati vaš Wi-Fi promet. Enkripcija višeg sloja (HTTPS) i dalje štiti sadržaj većine web prometa, ali oni vide odredišta, vrijeme i sve protokole otvorenog teksta. Vjerujte drugim Wi-Fi korisnicima otprilike onoliko koliko vjerujete drugim ljudima u svojoj kući.

Štiti li me VPN na otvorenom Wi-Fiju?

Da. VPN kriptira vezu između vašeg uređaja i VPN poslužitelja, tako da lokalni Wi-Fi vidi samo šifrirani tunel. Otvoreni Wi-Fi bez VPN-a izlaže sav vaš promet bilo kome s hvatanjem paketa — iako HTTPS štiti većinu sadržaja, metapodaci su i dalje vidljivi.

Trebam li sakriti svoj SSID?

Bez sigurnosne koristi. SSID je uključen u ispitivanja klijenta ("je li ovdje mreža MyHomeWifi?"), tako da ga svatko tko skenira čuje s vaših uređaja. Skrivanje SSID-a samo malo otežava vašu mrežu za legitimne korisnike, a nimalo ne usporava napadače.

Koja je razlika između AES-CCMP i AES-GCMP u Wi-Fi-ju?

Oba su načina enkripcije temeljene na AES-u koji se koriste u Wi-Fi-ju. CCMP je original (CCM način rada sa 128-bitnim ključem, u WPA2 i WPA3). GCMP-256 je dodan u WPA3-Enterprise za 192-bitnu razinu sigurnosti. Oba su sigurna; CCMP je univerzalniji.

Objašnjenje Wi-Fi sigurnosti: WPA2, WPA3 i povijest bežične enkripcije

Svaka Wi-Fi mreža kojoj ste se pridružili od sredine 2000-ih koristila je neku vrstu WPA — Wi-Fi Protected Access. Protokoli su se razvijali kroz nekoliko generacija, pri čemu je svaki popravljao slabosti prethodnog, a razlike između njih važne su za to koliko su vaše kućne i poslovne mreže zapravo sigurne.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Wi-Fi sigurnost skup je protokola koji štite bežični mrežni promet od prisluškivanja i neovlaštenog pristupa. Budući da Wi-Fi emitira radio signale svima u dometu, ključno je šifriranje prometa i autentifikacija korisnika. Isporučeno je nekoliko generacija protokola:

Wi-Fi sigurnosne generacije

WEP (privatnost ekvivalentna žici) — originalna Wi-Fi enkripcija iz 1997. Slomljen gotovo odmah; nadoknadivi ključevi s nekoliko minuta snimanja prometa. Nikada se ne bi smjelo koristiti.
WPA (Wi-Fi zaštićeni pristup) — 2003. popravak prekida dok je WPA2 finaliziran. Koristi miješanje TKIP ključeva na postojećem WEP hardveru. Bolji od WEP-a, ali i neispravan.
WPA2 — 2004, koristi AES-CCMP enkripciju. Glavni standard za ~15 godina. I dalje se smatra sigurnim za većinu modela prijetnji kada se koristi s jakom šifrom.
WPA3 — 2018, rješava nekoliko WPA2 slabosti, posebno protiv izvanmrežnih napada rječnikom na slabe šifre. Obavezno na opremi s Wi-Fi-6 certifikatom od 2020.

Kako radi WPA2 (širi oblik)

Za kućnu mrežu:

Usmjerivač i uređaj dijele zaporku ("PSK", unaprijed dijeljeni ključ).
Kada uređaj se pridruži, obje strane izvode glavni ključ iz zaporke putem PBKDF2 (10 000 ponavljanja SHA-1, dodanih SSID-om).
A 4-smjerno rukovanje uspostavlja ključeve sesije izvedene iz glavnog ključa plus nasumične jednokratne stavke.
Od tada se okviri šifriraju s AES-CCMP pomoću ključevi sesije koji se povremeno rotiraju.

Od čega WPA2 ne štiti

Izvanmrežni napadi rječnikom. Ako napadač uhvati 4-smjerno rukovanje, može ga skinuti izvan mreže i brutalno forsirati zaporku. Slaba šifra (ispod 12 znakova, riječi iz rječnika) može se oporaviti za nekoliko sati; jak (dugi nasumični) je računski neizvediv.
Ostali korisnici na istoj mreži. Ključ sesije izvodi se po uređaju, ali se glavni ključ dijeli. Korisnik koji zna zaporku može izvesti ključeve sesije drugih korisnika iz opaženih rukovanja.
KRACK napad (2017). Ponovna upotreba jednokratnih brojeva u 4-smjernom rukovanju omogućila je dešifriranje prometa u nekim konfiguracijama. Zakrpan u firmware-u klijenta i AP-a; stariji uređaji mogu još uvijek biti ranjivi.
PMKID napad (2018). Aktivno hvatanje prvog mrežnog paketa povezanog s rukovanjem omogućuje izvanmrežno krekiranje bez čekanja da se pravi klijent pridruži.

Što WPA3 dodaje

Glavni poboljšanja:

SAE (Istovremena autentifikacija jednakosti) zamjenjuje PSK s Diffie-Hellman razmjenom koja sprječava offline napade rječnikom. Čak i slaba šifra zahtijeva online interakciju za napad, dramatično usporavajući brute-force.
Prosljeđivanje tajnosti — svaka sesija izvodi neovisne ključeve. Kompromitiranje glavnog ključa ne dekriptira prethodno snimljeni promet.
Povećane veličine ključeva — 192-bitna opcija u WPA3-Enterprise za slučajeve visoke sigurnosti.
OWE (Oportunistička bežična enkripcija) — šifrira promet na otvorenom mreže (bez zaporke) tako da je Wi-Fi kafića i dalje šifriran u prijenosu, čak i ako je mreža "otvorena".
Easy Connect (DPP) — uključivanje temeljeno na QR kodu za IoT uređaje koji nemaju zaslone.

Osobno vs Enterprise načini

WPA2 i WPA3 imaju dva načina rada:

Osobni (PSK / SAE) — svi koriste istu šifru. Standardno za kućni Wi-Fi.
Enterprise (802.1X) — svaki korisnik ima jedinstvene vjerodajnice, obično putem RADIUS autentifikacije. Korporativna Wi-Fi mreža na koju se prijavljujete sa svojim radnim vjerodajnicama.

Enterprise način rada pruža odgovornost po korisniku, pojedinačno izvođenje ključa (bez zajedničkog glavnog ključa) i opoziv. Obavezno za svaku mrežu veću od nekolicine pouzdanih korisnika.

Skrivena slabost: WPS

Wi-Fi Protected Setup (WPS) — značajka "pritisni gumb za povezivanje" — ima temeljnu manu u mnogim implementacijama: 8-znamenkasti PIN može se grubo forsirati za nekoliko sati. Uvijek onemogućite WPS na vašem ruteru. Pogodnost nije vrijedna sigurnosnih udaraca; DPP integracija temeljena na QR kodu u WPA3 moderna je zamjena.

Praktične preporuke

Koristite WPA3 ako je dostupan, WPA2 inače. Nemojte koristiti WPA ili WEP ni iz kojeg razloga.
Snažna šifra. 16+ nasumičnih znakova ili 5+ nasumičnih riječi. Zaporke za Wi-Fi se provaljuju izvanmrežnim napadima; duljina je jedina smislena obrana.
Isključi WPS. Uvijek.
Rotiraj po potrebi. Promijeni lozinku kada ovlašteni korisnik napusti; inače povremeno.
Skriveni SSID-ovi nisu sigurnost. SSID emitiraju klijenti koji se pokušavaju povezati, čak i ako AP ne emitira.
Mreža za goste za posjetitelje. Odvojeni SSID izoliran od vašeg glavnog LAN.
Ažurirajte firmware usmjerivača. Većina kućnih usmjerivača isporučuje se s ranjivostima; ažuriranja proizvođača su neophodna.

Često postavljana pitanja

Je li WPA2 još uvijek siguran 2026.?: S jakom šifrom, da za većinu modela prijetnji. Poznati napadi (KRACK, PMKID) uglavnom su ublaženi u zakrpanom firmveru. Za neprijatelje na nacionalnoj razini ili scenarije dijeljenih zakupaca, WPA3 izvođenje ključa po korisniku značajno je jače.
Može li moj susjed vidjeti što radim ako je na mojoj Wi-Fi mreži?: Ako imaju zaporku, da — mogu snimiti rukovanja, izvesti vaše ključeve sesije i dekriptirati vaš Wi-Fi promet. Enkripcija višeg sloja (HTTPS) i dalje štiti sadržaj većine web prometa, ali oni vide odredišta, vrijeme i sve protokole otvorenog teksta. Vjerujte drugim Wi-Fi korisnicima otprilike onoliko koliko vjerujete drugim ljudima u svojoj kući.
Štiti li me VPN na otvorenom Wi-Fiju?: Da. VPN kriptira vezu između vašeg uređaja i VPN poslužitelja, tako da lokalni Wi-Fi vidi samo šifrirani tunel. Otvoreni Wi-Fi bez VPN-a izlaže sav vaš promet bilo kome s hvatanjem paketa — iako HTTPS štiti većinu sadržaja, metapodaci su i dalje vidljivi.
Trebam li sakriti svoj SSID?: Bez sigurnosne koristi. SSID je uključen u ispitivanja klijenta ("je li ovdje mreža MyHomeWifi?"), tako da ga svatko tko skenira čuje s vaših uređaja. Skrivanje SSID-a samo malo otežava vašu mrežu za legitimne korisnike, a nimalo ne usporava napadače.
Koja je razlika između AES-CCMP i AES-GCMP u Wi-Fi-ju?: Oba su načina enkripcije temeljene na AES-u koji se koriste u Wi-Fi-ju. CCMP je original (CCM način rada sa 128-bitnim ključem, u WPA2 i WPA3). GCMP-256 je dodan u WPA3-Enterprise za 192-bitnu razinu sigurnosti. Oba su sigurna; CCMP je univerzalniji.