wpa2型(wpa2)和wpa3级(wpa3)的区别

WPA3于2018年发布，是Wi-Fi保护接入协议的更新版和更安全的版本，用于保护无线网络。正如我们在比较WPA2和WPA时所描述的那样，自2004年以来，WPA2一直是保护无线网络的推荐方法，因为它比WEP和WPA更安全。WPA3做了进一步的安全改进，使得通过猜测密码进入网络变得更加困难；它还使得过去（即在密钥（密码）被破解之前）捕获的数据无法解密。...

当Wi-Fi联盟在2018年初宣布WPA3的技术细节时，他们的新闻稿吹捧了四大特点：一种新的、更安全的建立连接的握手方式，一种安全地向网络添加新设备的简单方法，使用开放热点时的一些基本保护，最后增加了密钥大小。

最终的规范只要求新的握手，但一些**商也将实现其他功能。

对比图

WPA2 versus WPA3 comparison chart

	WPA2	WPA3
Stands For	Wi-Fi保护访问2	Wi-Fi保护访问3
What Is It?	由Wi-Fi联盟于2004年开发的用于保护无线网络安全的安全协议；旨在取代WEP和WPA协议。	WPA3于2018年发布，是下一代WPA，具有更好的安全特性。它可以防止通过猜测相对容易破解的弱密码。
Methods	与WEP和WPA不同，WPA2使用AES标准而不是RC4流密码。CCMP取代了WPA的TKIP。	WPA3个人模式下的128位加密（WPA3企业模式下为192位）和前向保密。WPA3还将预共享密钥（PSK）交换替换为Equals的同时身份验证，这是一种更安全的初始密钥交换方式。
Secure and Recommended?	WPA2建议优于WEP和WPA，并且在禁用Wi-Fi保护设置（WPS）时更安全。不建议超过WPA3。	是的，WPA3比WPA2更安全。
Protected Management Frames (PMF)	WPA2自2018年初开始要求支持PMF。固件未修补的旧路由器可能不支持PMF。	WPA3要求使用受保护的管理框架（PMF）

新的握手：同时验证相等（sae）

当设备尝试登录到受密码保护的Wi-Fi网络时，提供和验证密码的步骤通过4路握手进行。在WPA2中，协议的这一部分易受KRACK攻击：

In a key reinstallation attack [KRACK], the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying cryptographic handshake messages. When the victim reinstalls the key, associated parameters such as the incremental tran**it packet number (i.e. nonce) and receive packet number (i.e. replay counter) are reset to their initial value. Essentially, to guarantee security, a key should only be installed and used once.

即使对WPA2进行了更新以抵御KRACK漏洞，WPA2-PSK仍然可以被破解。甚至还有破解WPA2-PSK密码的操作指南。

WPA3通过使用不同的握**制对Wi-Fi网络进行身份验证来修复此漏洞并缓解其他问题Equals的同时身份验证，也称为蜻蜓密钥交换。

WPA3如何使用Dragonfly密钥交换的技术细节在本视频中进行了描述，Dragonfly密钥交换本身就是SPEKE（简单密码指数密钥交换）的变体。

蜻蜓密钥交换的优点是前向保密和抗离线解密。

抗离线解密

WPA2协议的一个漏洞是，攻击者不必保持与网络的连接来猜测密码。攻击者可以在网络附近嗅探并捕获基于WPA2的初始连接的4路握手。然后，在基于字典的攻击中，可以脱机使用捕获的流量来猜测密码。这意味着如果密码很弱，它很容易被破解。事实上，对于WPA2网络，最多16个字符的字母数字密码可以很快破解。

WPA3使用Dragonfly密钥交换系统，因此能够抵抗字典攻击。定义如下：

Resistance to dictionary attack means that any advantage an adversary can gain must be directly related to the number of interacti*** she makes with an honest protocol participant and not through computation. The adversary will not be able to obtain any information about the password except whether a single guess from a protocol run is correct or incorrect.

WPA3的这一特性保护网络密码（即预共享密钥（PSDK））低于建议复杂度的网络。

前向安全性

无线网络使用无线电信号在客户端设备（例如电话或笔记本电脑）和无线接入点（路由器）之间传输信息（数据包）。这些无线电信号是公开广播的，附近任何人都可以截获或“接收”。当无线网络通过密码保护时，无论是WPA2还是WPA3，信号都是加密的，因此拦截信号的第三方将无法理解数据。

但是，攻击者可以记录他们截获的所有这些数据。如果他们将来能够猜出密码（这可能是通过对WPA2的字典攻击，正如我们上面所看到的），他们就可以使用密钥来解密过去在该网络上记录的数据流量。

WPA3提供前向保密。该协议的设计方式是，即使使用网络密码，窃听者也不可能窥探接入点和不同客户端设备之间的通信量。

机会无线加密（owe）

在本白皮书（RFC 8110）中描述，机会无线加密（OWE）是WPA3中的一项新功能，它取代了广泛用于热点和公共网络的802.11“开放”身份验证。

这个YouTube视频提供了OWE的技术概述。其关键思想是使用Diffie-Hellman密钥交换机制来加密设备和接入点（路由器）之间的所有通信。对于连接到接入点的每个客户端，通信的解密密钥是不同的。因此，网络上的其他设备都无法解密此通信，即使它们监听它（这称为嗅探）。这种好处称为个性化数据保护客户端和接入点之间的数据通信是“个性化的”；因此，虽然其他客户端可以嗅探并记录这些流量，但它们无法解密。

OWE的一大优点是它不仅保护需要密码才能连接的网络；它还可以保护没有密码要求的开放“不安全”网络，例如图书馆的无线网络。OWE为这些网络提供了无需身份验证的加密。无需设置、无需协商，也无需凭据—用户无需做任何事情，甚至不知道自己的浏览现在更加安全。

一个警告：欠不保护“流氓”接入点（AP）像蜜罐接入点或邪恶的双胞胎试图欺骗用户连接到他们和窃取信息。

另一个警告是WPA3支持但不强制未经验证的加密。**商有可能在不实施未经验证的加密的情况下获得WPA3标签。该功能现在被称为Wi-Fi CERTIFIED Enhanced Open，因此买家应在WPA3标签之外寻找此标签，以确保他们购买的设备支持未经验证的加密。

设备配置协议（dpp）

Wi-Fi设备配置协议（DPP）取代了不太安全的Wi-Fi保护设置（WPS）。家庭自动化或物联网（IoT）中的许多设备没有密码输入接口，需要依靠智能**来过渡Wi-Fi设置。

这里需要再次提醒的是，Wi-Fi联盟并没有强制使用此功能来获得WPA3认证。所以从技术上讲它不是WPA3的一部分。相反，这项功能现在是他们的Wi-Fi认证简易连接程序的一部分。所以在购买WPA3认证的硬件之前，先看看这个标签。

DPP允许设备通过Wi-Fi网络进行身份验证，无需密码，可以使用QR码或NFC（近场通信，与applepay或Android Pay上的无线交易相同的技术）标签。

通过Wi-Fi保护设置（WPS），密码将从您的**传送到IoT设备，然后IoT设备使用密码对Wi-Fi网络进行身份验证。但是在新的设备配置协议（DPP）中，设备在没有密码的情况下执行相互身份验证。

更长的加密密钥

大多数WPA2实现使用128位AES加密密钥。ieee802.11i标准还支持256位加密密钥。在WPA3中，长密钥大小（相当于192位安全性）仅适用于WPA3企业版。

WPA3 Enterprise指的是企业身份验证，它使用用户名和密码连接到无线网络，而不仅仅是家庭网络的典型密码（也称为预共享密钥）。

对于消费者应用程序，WPA3的认证标准已使更长的键尺寸成为可选。一些**商将使用更长的密钥大小，因为它们现在受到协议的支持，但消费者有责任选择一个路由器/接入点。

安全

如上所述，多年来，WPA2已变得容易受到各种形式的攻击，包括臭名昭著的KRACK技术，该技术的修补程序可用，但并非适用于所有路由器，用户也没有广泛部署，因为它需要固件升级。

2018年8月，又发现了另一种WPA2攻击向量。（1）这使得攻击者能够轻松地侦测WPA2握手以获得预共享密钥（密码）的散列。然后，攻击者可以使用暴力技术将此哈希值与常用密码列表的哈希值进行比较，或者与尝试不同长度的字母和数字的所有可能变化的猜测列表进行比较。使用云计算资源，猜测任何长度小于16个字符的密码都很简单。

简而言之，WPA2的安全性和break一样好，但只适用于WPA2个人。WPA2企业版更具抵抗力。在广泛使用WPA3之前，请为WPA2网络使用强密码。

支持wpa3

2018年推出后，预计需要12-18个月的时间，支持才能成为主流。即使您有支持WPA3的无线路由器，您的旧**或平板电脑也可能无法获得WPA3所需的软件升级。在这种情况下，接入点将回落到WPA2，这样您仍然可以连接到路由器，但没有WPA3的优势。

在2-3年内，WPA3将成为主流，如果你现在购买路由器硬件是明智的，未来证明你的购买。

建议

在可能的情况下，选择WPA3而不是WPA2。
在购买WPA3认证的硬件时，也要寻找Wi-Fi增强的Open和Wi-Fi Easy Connect认证。如上所述，这些特性增强了网络的安全性。
选择一个长而复杂的密码（预共享密钥）：在密码中使用数字、大小写字母、空格甚至“特殊”字符。把它变成一个密码短语而不是一个单词。使其长度为20个字符或更多。
如果您正在购买新的无线路由器或接入点，请选择支持WPA3的路由器或接入点，或者计划在将来推出支持WPA3的软件更新。无线路由器供应商定期发布其产品的固件升级。根据供应商的实力，他们会更频繁地发布升级。e、 g.在KRACK漏洞之后，TP-LINK是首批发布路由器补丁的供应商之一。他们还发布了旧路由器的补丁。因此，如果你正在研究购买哪种路由器，看看该**商发布的固件版本的历史。选择一家对他们的升级很勤奋的公司。
使用公共Wi-Fi热点（如咖啡馆或图书馆）时使用VPN，无论无线网络是否受密码保护（即安全）。