Будет ли WPA2 по-прежнему безопасен в 2026 году?

При использовании надежной парольной фразы — да, для большинства моделей угроз. Известные атаки (KRACK, PMKID) в основном смягчаются исправленной прошивкой. Для противников национального уровня или сценариев с общим арендатором генерация ключей для каждого пользователя в WPA3 значительно надежнее.

Может ли мой сосед видеть, что я делаю, если он подключен к моему Wi-Fi?

Если у них есть парольная фраза, да — они могут перехватывать рукопожатия, получать ваши сеансовые ключи и расшифровывать ваш Wi-Fi-трафик. Шифрование более высокого уровня (HTTPS) по-прежнему защищает содержимое большей части веб-трафика, но они видят адресаты, время и любой протокол открытого текста. Доверяйте другим пользователям Wi-Fi так же, как другим людям в вашем доме.

Защищает ли меня VPN при открытом Wi-Fi?

Да. VPN шифрует соединение между вашим устройством и VPN-сервером, поэтому локальный Wi-Fi видит только зашифрованный туннель. Открытый Wi-Fi без VPN раскрывает весь ваш трафик любому, кто перехватывает пакеты — хотя HTTPS защищает большую часть контента, метаданные по-прежнему видны.

Должен ли я скрыть свой SSID?

Никакого преимущества безопасности. SSID включен в клиентские зонды («есть ли здесь сеть MyHomeWifi?»), поэтому любой, кто сканирует, слышит его с ваших устройств. Сокрытие SSID лишь немного усложняет работу вашей сети для законных пользователей, но при этом совершенно не замедляет работу злоумышленников.

В чем разница между AES-CCMP и AES-GCMP в Wi-Fi?

Оба режима шифрования с проверкой подлинности на основе AES используются в Wi-Fi. CCMP — оригинальный (режим CCM со 128-битным ключом, в WPA2 и WPA3). GCMP-256 добавлен в WPA3-Enterprise для 192-битного уровня безопасности. Оба безопасны; CCMP более универсален.

Объяснение безопасности Wi-Fi: WPA2, WPA3 и история беспроводного шифрования

В каждой сети Wi-Fi, к которой вы подключались с середины 2000-х годов, использовалась разновидность WPA — защищенного доступа Wi-Fi. Протоколы развивались на протяжении нескольких поколений, каждое из которых исправляло недостатки предыдущего, а различия между ними имеют значение для того, насколько на самом деле безопасны ваши домашние и рабочие сети.

Полный текст статьи на английском языке представлен ниже.

Wi-Fi Security — это набор протоколов, защищающих трафик беспроводной сети от прослушивания и несанкционированного доступа. Поскольку Wi-Fi передает радиосигналы всем, кто находится в зоне действия, шифрование трафика и аутентификация пользователей имеют основополагающее значение. Выпущено несколько поколений протоколов:

Поколения безопасности Wi-Fi

WEP (конфиденциальность, эквивалентная проводной сети) — оригинальное шифрование Wi-Fi 1997 года. Сломан почти сразу; восстанавливаемые ключи с захватом трафика за несколько минут. Никогда не следует использовать.
WPA (защищенный доступ Wi-Fi) — временное исправление 2003 года, пока WPA2 был завершен. Использует смешивание ключей TKIP на существующем оборудовании WEP. Лучше, чем WEP, но тоже сломан.
WPA2 — 2004 г., использует шифрование AES-CCMP. Основной стандарт в течение примерно 15 лет. По-прежнему считается безопасным для большинства моделей угроз при использовании с надежной парольной фразой.
WPA3 — 2018 устраняет несколько слабых мест WPA2, особенно против автономных атак по словарю на слабые парольные фразы. Обязательно для оборудования, сертифицированного для Wi-Fi-6, с 2020 года.

Как работает WPA2 (широкая форма)

Для домашней сети:

Маршрутизатор и устройство используют общую парольную фразу («PSK», предварительно заданную совместно). key).
Когда устройство подключается, обе стороны получают главный ключ из парольной фразы через PBKDF2 (10 000 итераций SHA-1, дополненных SSID).
A 4-стороннее рукопожатие устанавливает ключи сеанса, полученные из главного ключа плюс случайные одноразовые символы.
С этого момента кадры шифруются с помощью AES-CCMP с использованием ключей сеанса, которые периодически меняются.

От чего WPA2 не защищает

Атаки по словарю в автономном режиме. Если злоумышленник перехватит четырехстороннее рукопожатие, он может отключить его и перебрать парольную фразу. Слабую парольную фразу (менее 12 символов, словарные слова) можно восстановить за несколько часов; сильный (длинный случайный) невозможен с вычислительной точки зрения.
Другие пользователи в той же сети. Ключ сеанса выводится для каждого устройства, но главный ключ является общим. Пользователь, знающий парольную фразу, может получить сеансовые ключи других пользователей на основе наблюдаемых рукопожатий. Атака
KRACK (2017 г.). Повторное использование одноразовых номеров в четырехстороннем рукопожатии позволило расшифровать трафик в некоторых конфигурациях. Исправлено в прошивке клиента и точки доступа; старые устройства все еще могут быть уязвимы.
PMKID-атака (2018). Активный захват первого сетевого пакета, связанного с рукопожатием, позволяет взломать в автономном режиме, не дожидаясь подключения реального клиента.

Что добавляет WPA3

Основной улучшения:

SAE (одновременная аутентификация равных) заменяет PSK обменом Диффи-Хеллмана, который предотвращает автономные атаки по словарю. Даже слабая парольная фраза требует онлайн-взаимодействия для атаки, что значительно замедляет перебор.
Секретность пересылки — каждый сеанс получает независимые ключи. Компрометация главного ключа не расшифровывает ранее захваченный трафик.
Увеличенные размеры ключей — 192-битная опция в WPA3-Enterprise для случаев использования с высоким уровнем безопасности.
OWE (оппортунистическое беспроводное шифрование) — шифрует трафик в открытых сетях (нет) парольная фраза), поэтому Wi-Fi в кафе по-прежнему шифруется при передаче, даже если сеть «открыта». Режимы
И WPA2, и WPA3 имеют два режима:
- Персональный (PSK/SAE) — все используют одну и ту же кодовую фразу. Стандарт для домашнего Wi-Fi.
- Enterprise (802.1X) — каждый пользователь имеет уникальные учетные данные, обычно через аутентификацию RADIUS. Корпоративная сеть Wi-Fi, в которой вы входите в систему, используя свои рабочие учетные данные.
Режим предприятия обеспечивает учет каждого пользователя, индивидуальное создание ключей (без общего главного ключа) и отзыв. Обязателен для любой сети, в которой более нескольких доверенных пользователей.
Скрытая слабость: WPS
Wi-Fi Protected Setup (WPS) — функция «нажми кнопку для подключения» — имеет фундаментальный недостаток во многих реализациях: 8-значный PIN-код может быть взломан за несколько часов. Всегда отключайте WPS на своем маршрутизаторе. Удобство не стоит ущерба безопасности; Современная замена DPP на основе QR-кода в WPA3.
Практические рекомендации
- Используйте WPA3, если доступен, и WPA2 в противном случае. Не используйте WPA или WEP ни по какой причине.
- Сильная парольная фраза. 16+ случайных символов или 5+ случайных слов. Парольные фразы Wi-Fi взламываются в результате офлайн-атак; длина — единственная значимая защита.
- Отключить WPS. Всегда.
- Поворачивать при необходимости. Изменять парольную фразу, когда авторизованный пользователь уходит; в противном случае периодически.
- Скрытые SSID не являются безопасностью. SSID транслируется клиентами, пытающимися подключиться, даже если точка доступа не транслируется.
- Гостевая сеть для посетителей. Отдельный SSID, изолированный от вашего основного LAN.
- Обновите прошивку маршрутизатора. Большинство домашних маршрутизаторов поставляются с уязвимостями; обновления производителя необходимы.

Часто задаваемые вопросы

Будет ли WPA2 по-прежнему безопасен в 2026 году?: При использовании надежной парольной фразы — да, для большинства моделей угроз. Известные атаки (KRACK, PMKID) в основном смягчаются исправленной прошивкой. Для противников национального уровня или сценариев с общим арендатором генерация ключей для каждого пользователя в WPA3 значительно надежнее.
Может ли мой сосед видеть, что я делаю, если он подключен к моему Wi-Fi?: Если у них есть парольная фраза, да — они могут перехватывать рукопожатия, получать ваши сеансовые ключи и расшифровывать ваш Wi-Fi-трафик. Шифрование более высокого уровня (HTTPS) по-прежнему защищает содержимое большей части веб-трафика, но они видят адресаты, время и любой протокол открытого текста. Доверяйте другим пользователям Wi-Fi так же, как другим людям в вашем доме.
Защищает ли меня VPN при открытом Wi-Fi?: Да. VPN шифрует соединение между вашим устройством и VPN-сервером, поэтому локальный Wi-Fi видит только зашифрованный туннель. Открытый Wi-Fi без VPN раскрывает весь ваш трафик любому, кто перехватывает пакеты — хотя HTTPS защищает большую часть контента, метаданные по-прежнему видны.
Должен ли я скрыть свой SSID?: Никакого преимущества безопасности. SSID включен в клиентские зонды («есть ли здесь сеть MyHomeWifi?»), поэтому любой, кто сканирует, слышит его с ваших устройств. Сокрытие SSID лишь немного усложняет работу вашей сети для законных пользователей, но при этом совершенно не замедляет работу злоумышленников.
В чем разница между AES-CCMP и AES-GCMP в Wi-Fi?: Оба режима шифрования с проверкой подлинности на основе AES используются в Wi-Fi. CCMP — оригинальный (режим CCM со 128-битным ключом, в WPA2 и WPA3). GCMP-256 добавлен в WPA3-Enterprise для 192-битного уровня безопасности. Оба безопасны; CCMP более универсален.