WPA2 EAP-PSKはWPA2-Enterpriseを使用して、サーバーに対して802.1X認証を行います。 EAPのPSKメソッドを使用し、クライアントがPSKを使用するだけで認証できるようにします。
WPA2-PSKの長所は、比較的最近の製造(第2世代802.11g程度)のすべての802.11デバイスでサポートされていることです。設定も使用も簡単です。
WPA2 EAP-PSKは、キャプチャされたトラフィックからPSKを計算することがより困難になるという点で、いくぶん安全である必要があります。ただし、攻撃者がPSK(ソーシャルエンジニアリング、書き留めなど)を入手できた場合、同じ脆弱性の多くが存在します。
いくつかの欠点があります。
- 他のWPA2エンタープライズ方式と同様に、認証サーバーをセットアップして認証する必要があり、これにより複雑さが増します。
- サーバーとクライアントの両方のサプリカントがEAP方式をサポートする必要があります。 AFAIK、wpa_supplicantのみがEAP-PSKをサポートしており、ほとんどのデバイスでこのネイティブを見つけることはできません。
- EAP-PSKは、開発の「実験的」段階を通過したことはありません。
- WPA2エンタープライズの複雑さをまったく望まないか(単純な認証方法を使用する場合でも)、それほど関心がないようです。
2つの主な違いは、暗号化に関するものではありません。共有パスワードが十分に複雑である場合、WPA2-PSKは現在のリソースを考えると解読できません。 WPA-EAP-PSKまたは任意のWPA Enterprise(ie EAP)実装)の使用は、ワイヤレスネットワークの暗号強度を向上させるためのものではなく、きめ細かな制御などの他の利点を提供するためのものです。誰が、何がネットワークに接続しているか。
WPA-EnterpriseのEAPオプションを使用すると、各ユーザーとデバイスが独自の資格情報を持つことができ、これにより制御と監査が向上します。ただし、これらのオプションの中には、暗号的に非常に弱いものがあります。類推を使用すると、WPA-PSKは会社のドアにデッドボルトがあり、すべての従業員に同じキーを提供するようなものです。 WPA-エンタープライズ/ EAPは、ドアを電子的にロック解除するキーカードシステムを持っているようなものです。類推をさらに進めると、これらのキーカードは各従業員に優れた制御と監査を提供しますが、根本的なロックは往々にして古き良きデッドボルトよりも弱いです。
暗号に戻って、256ビットのキーを使用すると、実行可能な唯一の攻撃は、ワイヤレスハンドシェイクをキャプチャしてから辞書攻撃を実行することです。辞書リストに表示されないほど複雑なパスワードを選択する限り、WPA-PSKは解読できません。ここで、ソーシャルエンジニアリング、信頼などのために1つのキーを共有するすべてのユーザーまたはデバイスについて必要または懸念がある場合は、EAP /エンタープライズオプションを確認する必要がありますが、暗号化すると、おそらく勝つことはできません。 WPA-PSK。