Hay dos modos (principales) en los que se ejecuta WPA2. Puede utilizar el modo empresarial o el modo de clave precompartida (PSK).
Si ejecuta en modo empresarial, necesita configurar un servidor RADIUS de autenticación y configurar certificados en los clientes que se conectarán al punto de acceso. Además necesitas configurar el AP con toda la información relevante. Este nivel de esfuerzo es bueno más allá de las capacidades de un usuario típico.
El modo WPA2-PSK utiliza una clave precompartida que tanto el cliente como el AP conocen. Esta es la contraseña, y el simple uso de una contraseña está dentro de las capacidades técnicas de los usuarios de la mayoría . La contraseña nunca se intercambia realmente cuando un cliente se conecta a un AP. En su lugar, hay un protocolo de enlace de cuatro vías que se produce. A través de este proceso, el cliente puede demostrar al AP que conoce el PSK.
WPA2-PSK no es realmente inseguro. En cambio, diría que es vulnerable a un ataque de fuerza bruta. Si un atacante puede capturar un apretón de manos de 4 vías (una tarea trivial) puede ejecutar ese apretón de manos a través de un diccionario para obtener el PSK. Esta es la parte clave. Al igual que con los hash de contraseña normales, las contraseñas complejas y largas son claves para hacer que el ataque de fuerza bruta no sea factible.
Como nota final: las redes WPA2-PSK son " salted "con el nombre de la AP. tablas Rainbow existen con hashes precalculados para los nombres de AP más comunes que existen (piense en "hilton-hhonors", " starbucks "etc). Una forma de obtener una sal única (y así derrotar la tabla del arco iris) es tener un nombre AP único.
Editar: ¿Si tienes curiosidad por saber cuál es la longitud de una contraseña "buena", es si tienes que usar PSK? De acuerdo con IEEE 802.11i (la enmienda que detalla WPA2)
Una frase de paso generalmente tiene aproximadamente 2.5 bits de seguridad por carácter, por lo que la asignación de frase de paso convierte un
Contraseña de n octeto en una clave con aproximadamente 2.5n + 12 bits de seguridad. Por lo tanto, proporciona un nivel relativamente bajo de
Seguridad, con claves generadas a partir de contraseñas cortas sujetas a ataque de diccionario. Se recomienda el uso del hash clave.
solo cuando no sea práctico utilizar una forma más fuerte de autenticación de usuario. Una clave generada
a partir de una contraseña de menos de unos 20 caracteres es poco probable que impida los ataques *.
* Énfasis mío. Sin embargo, tenga en cuenta que 802.11i se publicó en 2004. Desde entonces, el poder de cómputo ha cambiado. Todavía estaría de acuerdo, aunque 20 caracteres son bastante buenos.