Je WPA2 stále bezpečný v roku 2026?

So silnou prístupovou frázou áno pre väčšinu modelov hrozieb. Známe útoky (KRACK, PMKID) sú väčšinou zmiernené v opravenom firmvéri. V prípade protivníkov na úrovni národného štátu alebo scenárov zdieľaných nájomníkov je odvodenie kľúča WPA3 podľa používateľa výrazne silnejšie.

Môže môj sused vidieť, čo robím, ak je na mojej sieti Wi-Fi?

Ak majú prístupovú frázu, áno – môžu zachytiť handshake, odvodiť vaše kľúče relácie a dešifrovať vašu Wi-Fi prevádzku. Šifrovanie vyššej vrstvy (HTTPS) stále chráni obsah väčšiny webových prenosov, ale vidia ciele, načasovanie a akýkoľvek protokol s otvoreným textom. Dôverujte ostatným používateľom Wi-Fi asi tak, ako dôverujete iným ľuďom vo svojom dome.

Chráni ma VPN na otvorenom Wi-Fi?

áno. Sieť VPN šifruje spojenie medzi vaším zariadením a serverom VPN, takže miestna sieť Wi-Fi vidí iba šifrovaný tunel. Otvorená sieť Wi-Fi bez siete VPN sprístupní všetku vašu prevádzku komukoľvek pomocou zachytávania paketov – hoci HTTPS chráni väčšinu obsahu, metadáta sú stále viditeľné.

Mám skryť svoje SSID?

Žiadna bezpečnostná výhoda. SSID je súčasťou klientskych sond („je tu sieť MyHomeWifi?“), takže každý, kto skenuje, ho počuje z vašich zariadení. Skrytie SSID len trochu sťaží vašu sieť pre legitímnych používateľov, pričom útočníkov vôbec nespomalí.

Aký je rozdiel medzi AES-CCMP a AES-GCMP vo Wi-Fi?

Obidva sú overené režimy šifrovania založené na AES používané vo Wi-Fi. CCMP je originál (režim CCM so 128-bitovým kľúčom vo WPA2 a WPA3). GCMP-256 je pridaný do WPA3-Enterprise pre 192-bitovú úroveň zabezpečenia. Obe sú bezpečné; CCMP je univerzálnejší.

Vysvetlenie zabezpečenia Wi-Fi: WPA2, WPA3 a história bezdrôtového šifrovania

Každá sieť Wi-Fi, ku ktorej ste sa pripojili od polovice roku 2000, používala určitú príchuť WPA – chránený prístup Wi-Fi. Protokoly sa vyvíjali počas niekoľkých generácií, pričom každý opravoval slabé stránky predchádzajúcej a rozdiely medzi nimi sú dôležité pre to, ako bezpečné sú vaše domáce a pracovné siete.

Celé telo článku je uvedené v angličtine nižšie.

Zabezpečenie

Wi-Fi je sada protokolov, ktoré chránia prevádzku bezdrôtovej siete pred odpočúvaním a neoprávneným prístupom. Keďže Wi-Fi vysiela rádiové signály každému v dosahu, je nevyhnutné šifrovanie prevádzky a overovanie používateľov. Bolo dodaných niekoľko generácií protokolov:

Generácie zabezpečenia Wi-Fi

WEP (Wired Equivalent Privacy) – pôvodné šifrovanie Wi-Fi z roku 1997. Zlomené takmer okamžite; obnoviteľné kľúče s niekoľkými minútami zachytávania premávky. Nikdy by sa nemalo používať.
WPA (Chránený prístup k Wi-Fi) — oprava prerušenia z roku 2003, kým bol dokončený WPA2. Používa miešanie kľúčov TKIP na existujúcom hardvéri WEP. Lepšie ako WEP, ale aj nefunkčné.
WPA2 — 2004, používa šifrovanie AES-CCMP. Bežný štandard na ~ 15 rokov. Stále považované za bezpečné pre väčšinu modelov hrozieb, keď sa používajú so silnou prístupovou frázou.
WPA3 — 2018, rieši niekoľko slabých stránok WPA2, najmä proti útokom offline slovníka na slabé prístupové frázy. Povinné na zariadeniach s certifikáciou Wi-Fi-6 od roku 2020.

Ako funguje WPA2 (široký tvar)

Pre domácu sieť:

Smerovač a zariadenie zdieľajú prístupovú frázu (zariadenie zdieľané 29Z2XWhen aPLXX). spoje, obe strany odvodia hlavný kľúč z prístupovej frázy cez PBKDF2 (10 000 iterácií SHA-1, osoleného SSID).
A 4-smerné handshake vytvára kľúče relácie odvodené od hlavného kľúča plus náhodné nonces.
Z toho sa potom striedajú kľúče AESCC s rámami. pravidelne.

Čo WPA2 nechráni pred

Offline slovníkovými útokmi. Ak útočník zachytí 4-smerné podanie ruky, môže ho prepnúť do režimu offline a hrubo si vynútiť prístupovú frázu. Slabá prístupová fráza (menej ako 12 znakov, slová zo slovníka) je možné obnoviť za niekoľko hodín; silný (dlhý náhodný) je výpočtovo nerealizovateľný.
Ostatní používatelia v rovnakej sieti. Kľúč relácie je odvodený pre každé zariadenie, ale hlavný kľúč je zdieľaný. Používateľ, ktorý pozná prístupovú frázu, môže odvodiť kľúče relácie iných používateľov z pozorovaných handshake.
KRACK útok (2017). Opätovné použitie nonces v 4-cestnom handshake umožnilo v niektorých konfiguráciách dešifrovanie prevádzky. Opravený firmvér klienta a AP; staršie zariadenia môžu byť stále zraniteľné.Útok
PMKID (2018). Aktívne zachytávanie prvého paketu súvisiaceho s potriasaním rúk v sieti umožňuje prelomenie v režime offline bez čakania, kým sa pripojí skutočný klient.

Čo WPA3 pridáva

X PLZ5 vylepšenia:

SAE (Simultánna autentifikácia rovných) nahrádza PSK výmenou Diffie-Hellman, ktorá zabraňuje útokom na offline slovník. Dokonca aj slabá prístupová fráza vyžaduje na útok online interakciu, čím sa dramaticky spomalí hrubá sila.
Forward secrecy — každá relácia odvodzuje nezávislé kľúče. Kompromis hlavného kľúča nedešifruje predtým zachytený prenos.
Zväčšené veľkosti kľúčov — 192-bitová možnosť vo WPA3-Enterprise pre prípady použitia s vysokým stupňom zabezpečenia.
OWE (príležitostné) šifrovanie v sieťach s otvoreným bezdrôtovým šifrovaním (príležitostné šifrovanie XPLZ5 prístupová fráza), takže sieť Wi-Fi v kaviarni je pri prenose stále šifrovaná, aj keď je sieť „otvorená“.
Easy Connect (DPP) – integrácia založená na kóde QR pre zariadenia internetu vecí, ktoré nemajú obrazovky.

Xersonals Enterprise v82 režimy
WPA2 aj WPA3 majú dva režimy:
Personal (PSK / SAE) — každý používa rovnakú prístupovú frázu. Štandard pre domácu Wi-Fi.
Enterprise (802.1X) – každý používateľ má jedinečné poverenia, zvyčajne prostredníctvom overenia RADIUS. Firemná sieť Wi-Fi, do ktorej sa prihlasujete pomocou svojich pracovných poverení. Režim
Enterprise poskytuje zodpovednosť pre jednotlivých používateľov, odvodenie individuálnych kľúčov (bez zdieľaného hlavného kľúča) a zrušenie. Povinné pre každú sieť väčšiu ako hŕstka dôveryhodných používateľov.
Skrytá slabina: WPS
Wi-Fi Protected Setup (WPS) – funkcia „pripojenie stlačením tlačidla“ – má zásadnú chybu v mnohých implementáciách: 8-ciferný kód PIN sa dá hrubo vynútiť za niekoľko hodín. Vždy vypnite WPS na svojom smerovači. Pohodlie nestojí za bezpečnostný zásah; Začlenenie DPP založené na QR kóde vo WPA3 je modernou náhradou.
Praktické odporúčania
Použite WPA3, ak je k dispozícii, inak WPA2. Zo žiadneho dôvodu nepoužívajte WPA ani WEP.
Silná prístupová fráza. 16+ náhodných znakov alebo 5+ náhodných slov. Prístupové frázy Wi-Fi sú prelomené offline útokmi; dĺžka je jediná zmysluplná obrana.
Zakázať WPS. Vždy.
Otočiť v prípade potreby. Zmeniť prístupovú frázu, keď oprávnený používateľ odíde; inak pravidelne.
Skryté SSID nie sú bezpečnosťou. SSID vysielajú klienti, ktorí sa pokúšajú pripojiť, aj keď AP nevysiela.
Hosťovská sieť pre návštevníkov. Samostatné hlavné SSID izolované od vášho LAN.
Aktualizácia firmvéru smerovača. Väčšina domácich smerovačov sa dodáva so zraniteľnými miestami; aktualizácie výrobcu sú nevyhnutné.

Často kladené otázky

Je WPA2 stále bezpečný v roku 2026?: So silnou prístupovou frázou áno pre väčšinu modelov hrozieb. Známe útoky (KRACK, PMKID) sú väčšinou zmiernené v opravenom firmvéri. V prípade protivníkov na úrovni národného štátu alebo scenárov zdieľaných nájomníkov je odvodenie kľúča WPA3 podľa používateľa výrazne silnejšie.
Môže môj sused vidieť, čo robím, ak je na mojej sieti Wi-Fi?: Ak majú prístupovú frázu, áno – môžu zachytiť handshake, odvodiť vaše kľúče relácie a dešifrovať vašu Wi-Fi prevádzku. Šifrovanie vyššej vrstvy (HTTPS) stále chráni obsah väčšiny webových prenosov, ale vidia ciele, načasovanie a akýkoľvek protokol s otvoreným textom. Dôverujte ostatným používateľom Wi-Fi asi tak, ako dôverujete iným ľuďom vo svojom dome.
Chráni ma VPN na otvorenom Wi-Fi?: áno. Sieť VPN šifruje spojenie medzi vaším zariadením a serverom VPN, takže miestna sieť Wi-Fi vidí iba šifrovaný tunel. Otvorená sieť Wi-Fi bez siete VPN sprístupní všetku vašu prevádzku komukoľvek pomocou zachytávania paketov – hoci HTTPS chráni väčšinu obsahu, metadáta sú stále viditeľné.
Mám skryť svoje SSID?: Žiadna bezpečnostná výhoda. SSID je súčasťou klientskych sond („je tu sieť MyHomeWifi?“), takže každý, kto skenuje, ho počuje z vašich zariadení. Skrytie SSID len trochu sťaží vašu sieť pre legitímnych používateľov, pričom útočníkov vôbec nespomalí.
Aký je rozdiel medzi AES-CCMP a AES-GCMP vo Wi-Fi?: Obidva sú overené režimy šifrovania založené na AES používané vo Wi-Fi. CCMP je originál (režim CCM so 128-bitovým kľúčom vo WPA2 a WPA3). GCMP-256 je pridaný do WPA3-Enterprise pre 192-bitovú úroveň zabezpečenia. Obe sú bezpečné; CCMP je univerzálnejší.