WPA Personal در محصولات وایفای اجباری شده است، ولی مجمع وایفای در تستهای خود این را درنظرمی گیرد که کلیدهای رمزنگاری قبلاً به اشتراک گذاشته شدهاند. به هر جهت دستیابی به یک توافق بر سر راهی مطمئن برای به اشتراک گذاری کلیدها در آینده نزدیک بعید به نظر میرسد .
WPA2) به عمل میآورند که آخرین استاندارد رمزنگاری داده ارسالی از طریق هوا به شمار میرود. محصولات وایفای از این استاندارد حمایت میکنند؛ زیرا از ماه جاری مجمع وایفای، قابلیت سازگاری با WPA2 را به عنوان بخش اجباری تستهای هماهنگی خود لحاظ میکند.البته دو نوع WPA2 وجود دارد و بیشتر تلفنهای وایفای و بسیاری از دستگاههای دیگر از نسخه قبلی حمایت میکنند که از ابتدا برای شبکههای خانگی طراحی شده بود.
زمانی که مجمع وایفای به WPA2 دست یافت، بازار را به دو گروه تقسیم کرد: WPA و WPA Home .WPA پیادهسازی تقریباً کاملی از مشخصات استاندارد IEEE 802.11i است که هدف آن ایجاد توانایی کار با RADIUSسرورها و پشتیبانی دائمی کارکنان در شبکههای بزرگ میباشد. WPA HOME که یک مدل سبکتر است با هدف نصب و راهاندازی سادهتر و امنیت کمتر ایجاد شده و فقط در لوازم الکترونیکی شخصی کاربرد دارد.
از دو هدف WPA HOME فقط یکی محقق شده است. به عبارت دیگر، نسخه خانگی، امنیت کمتری دارد، ولی برای کاربران خانگی به اندازه کافی ساده نیست و در شرکتها هم از این نسخه استفاده میشود. به همین دلیل مجمع وایفای نام آن را به WPA Personal تغییر داد. مجمع وایفای همچنین توجه خود را به روشهای تسهیل مدیریت کلیدها معطوف کرده است. فروشندگان متعددی با سیستم اختصاصی کنار آمدهاند، ولی در حال حاضر تنها راه مطمئن جهت انتقال کلیدها برای WPA Personal، تایپ دستی آنهاست و البته هرچه شبکه بزرگتر باشد، انجام این کار سختتر میشود.
Extensible Authentication Protocol) EAP) کار میکند که کلیدهای رمزنگاری را تغییر میدهد و حداقل به یک سرور تأیید هویت نیاز دارد. این کار به خودی خود برای بیشتربخشهای IT مؤسسات مشکلی ایجاد نمیکند، ولیEAP نیز به تنهایی کافی نیست. این پروتکل بر اساس نسخههای مختلف کار میکند و انتخاب یکی از آنها معمولاً به نوع سرور و روش تأیید هویت آن بستگی دارد.
وقتی کلاینتی عضو شبکهای میشود، همان نوع EAP که شبکه پشتیبانی میکند، کلاینت نیز باید پشتیبانی کند. این کار معمولاً از طریق نرمافزاری انجام میشود که به آن Supplicant میگویند و هیچ نوعی از EAP وجود ندارد که برای همه دستگاهها Supplicant داشته باشد.
بنابراین کاربران سیستمهای اختصاصی کاملاً در اختیار یک فروشنده خاص قرار میگیرند. برای مثال، مایکروسافت نرمافزار خود را در دسترس لینوکس قرار نمیدهد. از طرفی استانداردها هم به طور گسترده پشتیبانی نمیشوند.
حتی اگر تولیدکننده نرمافزاری بخواهد تمام انواع EAPها را پشتیبانی کند، نمیتواند. بیشتر تلفنهای وایفای و دستگاههای بارکد حتی قدرت اجرای یک EAP Supplicant را ندارند. بنابراین به هیچ عنوان نمیتوانند از WPA Enterprise استفاده کنند.
به همین خاطر، شبکههایی که از این تجهیزات استفاده میکنند، باید به کلاینتها این قابلیت را بدهند که در زمان مقتضی به یک مد ارتباطی با امنیت کمتر سوییچ کنند؛ مثل WPA Personal یا چیزی ضعیف تر از آن.
برای راحتی بیشتر، WPA Personal برای تمام کلاینتهای شبکه از یک کلید استفاده میکند. در عوض WPA Enterprise به هر کلاینت یک کلید انحصاری میدهد که برای هر جلسه (session) یا پکت به طور تصادفی تولید میشود. از این نظر WPA Personal شبیه Wired Equivalent Privacy) WEP) است که آشکارا، امنیت پیادهسازی شده در استاندارد اولیه 802.11 را شکننده نشان میداد.
به هر حال، WEP مشکلات شناخته شده زیاد دیگری داشت که برطرف شده است. WPA اولیه همانند WEP توسط پیادهسازی الگوریتم RC4 خود برخی مشکلاتش را حل کرد و قابلیت پشتیبانی از کلیدهای طولانیتر را اضافه نمود. بعداً WPA2 ،RC4 را کنار گذاشت و از AES استفاده کرد و باز هم طول کلید را طولانیتر کرد.
یک کلید اشتراکی همچنان میتواند خطر امنیتی به همراه داشته باشد و هرچه شبکه بزرگتر باشد، این خطر بیشتر است. این مشکل برای شبکههای خانگی که یکی دو تا کلاینت و یک AP دارند جدی نیست، ولی در مؤسسات بزرگ باعث آسیبپذیری شبکه در مقابل سرقت دستگاهها و اطلاعات میشود. این مشکل از آنجا نمایان میشود که اگر کلید از یکی از سیستمها به سرقت برود، همه دستگاهها در شبکه باید کلیدشان را عوض کنند.
بدون EAP تعویض کلیدها کار مشکلی است. هرچه کلیدها طولانیتر باشد، کار تایپ آنها سختتر است؛ مخصوصاً وقتی که دستگاههایی بدون صفحهکلید در شبکه موجود باشد. محصولات زیادی هستند که از EAP پشتیبانی نمیکنند. تولیدکنندگان در این زمینه به سه راهکار دست یافتهاند، ولی با توجه به خواستگاههای سیستمشان، هدف عمده همه آنان کاربران خانگی است و هیچ کدام ازآنها با همه سختافزارها کار نمیکنند.
رایجترین نرمافزار برای مدیریت کلیدها؛ Broadcast Secure Easy Setup) SES) است که در بیشتر کارتهای شبکه و نقطه دسترسیهای دارای چیپ Broadcom که از اواسط سال 2004 به بعد تولید شدهاند، وجود دارد.
SES از ترکیب کلمات عبور ترکیبی با جوابهایی به سؤالات امنیتی متعدد کلیدها را تولید میکند. به طوری که در واقع فقط برای جلوگیری از فراموشی کلیدها طراحی شده است. برخلاف کلمات عبورساده، کلیدهایی که SES میسازد، نسبت به حملاتی که برای پیدا کردن کلمه عبور، تمام کلمات ممکن را تست میکند (Dictionary attack) آسیبپذیر نیست و وارد کردن دستی کلیدها، کاربرها میتوانند کلمات عبور ترکیبی و جوابها را به راحتی به خاطر بیاورند. به هر حال، این برنامه برای ورود کلیدها نمیتواند به دستگاههایی که صفحه کلید ندارند کمکی بکند.
یک نسخه جدیدتر SES یک کلید تصادفی را به طور خودکار تولید میکند. این عمل وقتی اتفاق میافتد که کاربران یک کلید از کلاینت و AP را همزمان فشار دهند؛ اگرچه این کار در برابر بعضی حملات Sniffing آسیبپذیری بالقوه به حساب میآید.
شرکتهای Linksys وBuffalo Technology دکمهای را روی APها برای این منظور تعبیه کردهاند و در طرح اصلیBroadCom نیز برای تلفن وایفای چنین دکمهای را قرار داده است. نرمافزار BroadCom در رابط گرافیکی خود، هم روی درایور کارتهای شبکه و هم در یک رابط مدیریت AP SSL، برای دستگاههایی که چنین دکمههایی ندارند، دکمهای برای کلیک ماوس قرار داده است.
چیپهای برودکام در بازار مسیریابهای وایفای خانگی به وفور یافت میشوند، ولی آنها را به ندرت میتوان درAPهای تجاری پیدا کرد.
بسیاری از این APها دارای چیپهای Atheros هستند که یک سیستم تک کلیدی مشابه به نام JumpStart را ارائه میکند. این سیستم در برابر حملات Sniffing به اندازه SES آسیبپذیر نیست؛ زیرا علاوه بر فشار دادن یک کلید یک کلمه عبور نیز از کاربر درخواست میکند و با استفاده از الگوریتم Diffie - Hellman یک کلید ارائه میکند.
هم SES و هم JumpStart چیپهای مخصوص تولیدکنندگان خود را روی کلاینت و AP نیاز دارند که باعث محدودیت استفاده از آنها میشود. شرکت اسروس کد جامپ استارت را با یک مجوز نرمافزاری منبعباز منتشر کرده است. به طوری که به همان اندازه که رضایت محققان امنیت را جلب میکند، توسط سایر تولیدکنندگان قابل استفاده است، ولی تاکنون هیچ تولیدکننده دیگری از پیشنهاد اسروس استقبال نکرده است.
شرکت های مایکروسافت و اینتل ازدیدگاه انتقال فیزیکی کلیدها بین کامپیوترها حمایت میکنند. نسخه اولیه نتیجه این دیدگاه در ویندوز اکسپی سرویس پک دو قرارداده شده است. این نسخه یک کلید تصادفی تولید میکند و با استفاده از درایوهای فلش USB آن را به اشتراک میگذارد. بنابراین با کارتهای شبکه و APهای تمام تولیدکنندگان کار میکند. این قابلیت، نسخه مذکور را به انتخابی مناسب برای کاربرانی مبدل میسازد که لپتاپهای دارای سیستم عامل ویندوزخود را به خانه میبرند واز آنجا به یک شبکه وایفای متصل میشوند.
این ویژگی برای شبکههای مؤسسات بزرگ هنوز کافی نیست. چون دستگاههایی که از EAP پشتیبانی نمیکنند، ویندوز اکسپی را نیز اجرا نمیکنند و درگاه USB هم ندارند.
مایکروسافت و اینتل برای این دستگاهها استفاده از تگ Radio Frequency Identification) RFID) را پیشنهاد میدهند. RFID خیلی ارزان است و بسیاری ازسازندگان گوشی همراه RFID Reader را به گوشیهای خود اضافه کردهاند. آنها همچنین پتانسیل بالای بازار را برای دستگاههایی مانند قاب عکسهای وای فای درک میکنند که هیچ دکمه ورودی یا وسیله خاصی برای ورود کلید ندارند، ولی میتوانند کلید را از طریق RFID دریافت کنند.
کامپیوترهای شخصی به طور استاندارد فاقد RFID هستند، ولی میتوانند به سمت درایوهای USB تغییر مسیر بدهند.
RFID به اندازه درایو USB ایمن نیست؛ زیرا نقل و انتقال داده میتواند توسط یک آنتن جهتدار Sniff شود. از طرفی قدرت کمِ اکثر کارتهای RFID به خودی خود احتمال Sniffing را بعید میسازد. عیب بزرگتر این است که هیچ کدام ازدستگاههای وایفای هنوز RFID را اضافه نکردهاند. به همین خاطر این سیستم برای کسانی که در حال حاضر از تلفن های وایفای استفاده میکنند، کاربرد ندارد.در نهایت میتوان گفت تایپ کلیدها به طور دستی نتیجه روشنتری دارد.
صرفنظر از اینکه کلیدهای WPA Personal چگونه تعویض میشوند، مؤسسات بزرگ نمیتوانند به طور کامل به آن تکیه کنند. کامپیوترها و دیگر دستگاههای با قابلیت اجرای نرمافزار دلخواه میتوانند از WPA Enterprise یا VPN، با نسخه اختصاصی با امنیت کمتر برای دستگاههایی که به آن نیاز دارند، استفاده کنند.
به جا گذاشتن یک روزنه در ارتباطات بیسیم با امنیت پایین ممکن است برای برخی از بخشهای IT خطرناک باشد، ولی به هرحال جایگزین مناسبی وجود ندارد که به همه دستگاههای غیر EAP اجازه ورود به شبکه را بدهد.WPA Personal نسبت به WEP پیشرفت عمدهای به حساب میآید. تولیدکنندگان بزرگ AP شامل Cisco ،Aruba Wireless Networks ،Meru Networks ،Symbol Technologies ،Trapeze Networks روشهایی برای به حداقل رساندن مخاطرات امنیتی دارند.
کلاینتهایی که با استفاده از WPA Enterprise تأیید هویت میشوند، میتوانند به منابع مؤسسه دسترسی کامل داشته باشند و کسانی که هویتشان تأیید نمیشود، فقط میتوانند به منابع خاصی دسترسی داشته باشند. به عنوان مثال، یک تلفن فقط به یک PBX، یک دستگاه بارکد خوان به یک سرور مخصوص و کاربران میهمان به اینترنت میتوانند متصل شوند. سیستمی از همین نوع میتواند ارتباطات کاملاً نامطمئنی داشته باشد، ولی اجازه ورود به شبکه خصوصی را به آنها ندهد و فقط استفاده از اینترنت رابرای آنها امکانپذیر سازد که این سیستم برای دسترسی کاربران مهمان مناسب میباشد.