Quali sono le differenze tra WPA2-PSK e WPA2-EAP-PSK?

WPA2 EAP-PSK utilizza WPA2-Enterprise per eseguire un'autenticazione 802.1X sul server. Utilizza il metodo PSK di EAP e consente a un client di autenticarsi con il solo utilizzo di una PSK.

I pro di WPA2-PSK è che è supportato in ogni dispositivo 802.11 di produzione relativamente recente (2a gen 802.11 go circa). È semplice da configurare e semplice da usare.

WPA2 EAP-PSK dovrebbe essere un po 'più sicuro in quanto sarebbe più difficile calcolare il PSK dal traffico catturato. Tuttavia, molte delle stesse vulnerabilità esistono se un utente malintenzionato fosse in grado di ottenere una sospensione della PSK (ingegneria sociale, scritta, ecc.).

Ci sono una serie di inconvenienti:

1. Come altri metodi WPA2-Enterprise, devi avere un server di autenticazione configurato per l'autenticazione rispetto al quale aggiunge complessità.
2. Sia il server che il client supplicant devono supportare il metodo EAP. AFAIK, solo wpa_supplicant ha il supporto per EAP-PSK e non lo troverai nella maggior parte dei dispositivi.
3. EAP-PSK non ha mai superato la fase di sviluppo "sperimentale".
4. Non sembra esserci molto interesse in esso, o le persone non vogliono affatto la complessità di WPA2-Enterprise (anche con un semplice metodo di autenticazione) o si accontentano di utilizzare altri EAP più ampiamente supportati metodi.

La maggiore differenza tra i due non dovrebbe essere la crittografia. WPA2-PSK, a condizione che la password condivisa sia sufficientemente complessa, è infrangibile in base alle risorse attuali. L'uso di WPA-EAP-PSK o di qualsiasi implementazione WPA Enterprise (cioè EAP) non dovrebbe essere nel tentativo di aumentare la forza crittografica di una rete wireless ma di fornire altri vantaggi come il controllo granulare su chi o cosa si connette alla rete.

Con le opzioni EAP in WPA-Enterprise ogni utente e dispositivo può avere le proprie credenziali e questo aumenta il controllo e il controllo. Tuttavia, alcune di queste opzioni sono molto crittograficamente deboli. Per usare un'analogia, WPA-PSK è come avere un fulmine sulla porta della tua azienda e fornire a ogni dipendente la stessa chiave. WPA-Enterprise / EAP è come avere un sistema di chiavi elettroniche che sblocca elettronicamente la porta. Per portare ulteriormente l'analogia, mentre quelle chiavi danno grande controllo e auditing per ogni dipendente, il blocco sottostante spesso è più debole del buon catenaccio vecchio stile.

Torna alla crypto, con una chiave a 256 bit, l'unico attacco possibile è quello di catturare l'handshake wireless e quindi eseguire un attacco di dizionario. Finché si sceglie una password di tale complessità da non apparire in un elenco di dizionari, WPA-PSK sarà indistruttibile. Ora, se hai bisogno o preoccupazione di tutti gli utenti o dispositivi che condividono una chiave a causa dell'ingegneria sociale, della fiducia, ecc., Allora hai bisogno di guardare le opzioni EAP / Enterprise, ma crittograficamente, probabilmente non hai intenzione di battere WPA-PSK.