У цій статті ми розглянемо кілька найбільш поширених прикладів помилок автентифікації під час роботи пристроїв на базі операційної системи Androidз WiFi мережами. На перший погляд, нічого складного в цьому питанні і бути не може, адже інтерфейс телефонів і планшетів на базі даної ОС відрізняється винятковою доброзичливістю навіть до самих недосвідченим користувачамале вона здатна здивувати.

До того ж, подібна помилка – досить поширене явище і щоб не потрапити в халепу, для початку слід ознайомитися з викладеною нижче інформацією і, можливо, проблема підключення вирішиться легко і непомітно. Для початку слід розібратися, що таке аутентифікація і технологія WiFiв цілому. Розуміння цього дасть Вам можливість без будь-якої допомоги та зайвих витратвирішувати побутові питання, пов'язані з цим протоколом.

Аутентифікація. Що це й навіщо?

Нерідко при аутентифікації замість заповітного «Підключено» на дисплеї телефону з'являється напис на кшталт «Збережено, захист WPA/WPA2», або «Проблема аутентифікації».

Що ж вона являє собою?

Це особлива технологія захисту, яка не допускає у вашу особисту або робочу мережунепроханих користувачів, які б використовувати ваш канал інтернету і витрачати трафік. Адже платити за нього доведеться Вам. Та й великий радіус дії точки доступу WiFiдає можливість підключитися до неї не тільки людям, для яких вона створювалася, але й зловмисникам. А значить, щоб запобігти такому несанкціоноване підключенняі потрібна високоякісна технологія шифрування даних і автентифікація з низькою ймовірністю злому і підбору пароля. Саме тому для підключення до мережі найчастіше необхідно ввести пароль. Підходящий під Ваші вимоги спосіб шифрування даних під час аутентифікації можна вибрати в налаштуваннях роутера або точки доступу, до якої підключається Ваш пристрій. Найбільш поширеним сьогодні є метод перевірки автентичності WPA-PSK/WPA2.

Тут є два основні варіанти:

• У першому випадку всіма абонентами при підключенні до мережі вводиться той самий ключ, у іншому – кожному користувачеві видається особистий ключ доступу, що здебільшого з цифр і букв латинського алфавіту.
• Другий тип шифрування використовується в основному в компаніях з підвищеним рівнемзахисту мережі, де підключається певна кількість користувачів і важлива насправді безпечна перевіркаавтентичності.

Якщо у нас виникають проблеми з підключенням, перед прийняттям будь-яких дій, рекомендується скористатися перевіреним методом, який у більш ніж половині випадків вирішує всі проблеми, включаючи помилку автентифікації - перезавантажте роутер.

Інший з найбільш ефективних способіввирішення помилки аутентифікації, оскільки не рідко її причиною може бути пошкоджена мікропрограма маршрутизатора розташованого у вас вдома - це оновлення його прошивки до останньої версії. Оновлювати її рекомендовано з офіційного сайту виробника. Також при цьому бажано мати збережену копію файлу з конфігурацією роутера, а якщо у Вас її немає, то не полінуйтеся зробити її на своєму комп'ютері, щоб не виникла потреба підбирати налаштування заново. Крім того, краще переконатися, що Ваша мережа не прихована, тобто просто перевірити в налаштуваннях, чи не варто галочка «Hidden SSID» і чи написано ім'я бездротової мережі SSIDна латиниці.

Помилка автентифікації. Чому виникає?

Фактично існують лише дві основні проблеми, через які ваш телефон може не підключатися до WiFi мережі. Але не варто забувати, що крім наведених нижче помилок, подібні проблемиможуть бути викликані і збоєм самого маршрутизатора або через конфлікти в налаштуваннях мережі. Це вже окрема тема розмови.

1. Невідповідність вибраного типу шифрування з використовуваним.
2. Помилка під час введення ключа

Більшість проблем із підключенням до бездротових мереж – саме через помилки під час введення ключа. У таких випадках рекомендується перевірити ще раз пароль, введений у налаштуваннях підключення телефону, а якщо це не допоможе - за допомогою комп'ютера зайти в налаштування маршрутизатора, замінивши ключ доступу безпосередньо на ньому. Варто пам'ятати, що ключ може складатися лише з латинських букв. Якщо це не допомогло – повинен обов'язково допомогти один із наведених нижче методів.

Для вирішення проблеми дивимося відео:

Усунення помилок під час аутентифікації

Далеко не кожен користувач уявляє, як виглядає налаштування WiFiроутера за допомогою комп'ютера і як усунути будь-які проблеми в підключенні, не кажучи вже про причини появи. Тому нижче описано ще один спосіб вирішення проблем, але вже на стороні маршрутизатора та за допомогою комп'ютера, підключеного до нього, а не телефону.

1. Для перевірки налаштувань потрібно зайти до налаштувань роутера. Щоб це зробити — відкрийте будь-який браузер і введіть в адресний рядок ip-адресу 192.168.0.1 або 192.168.1.1 . Це вже залежить від моделі роутера, який ви використовуєте. Після цього введіть ваш логін і пароль у вікні. Якщо ви їх не змінювали, то зможете необхідні дані для входу знайти на самому роутері або в інструкції.
2. Далі слід перейти до налаштувань режиму бездротової мережі і замість "b/g/n", який найчастіше стоїть за замовчуванням, змінити на "b/g", зберігши після цього всі внесені зміни.
3. Якщо всі попередні маніпуляції особливого результату не дали, то є сенс змінити тип шифрування під час перевірки на WPA/WPA2, якщо був обраний інший метод, або навпаки – спростити до WEP, який хоч і застарів, але іноді рятує ситуацію, якщо інші способи виявляються неефективні. Після цього знову спробуйте підключитися до мережі з телефону і знову введіть свій ключ для перевірки.

Знання перерахованих нюансів допоможе вам впоратися з помилкою, що виникає на багатьох пристроях, незалежно від класу та вартості, під час роботи з різними бездротовими мережами, а також зрозуміти сам принцип налаштування бездротових роутерівта точок доступу.

Щоразу, коли користувач вводитьпевні дані для входу на якийсь ресурс чи сервіс – він проходить процедуру автентифікації. Найчастіше така процедура в інтернеті відбувається шляхом введення логінуі пароляОднак існують і інші варіанти.

Процес входу та введення особистих даних можна умовно поділити на 2 рівні:

• Ідентифікація– це введення особистих даних користувача, які зареєстровані на сервері та є унікальними
• Аутентифікація- Власне перевірка та прийняття введеної інформації на сервері.

Іноді замість вищезгаданих термінів використовують простіші – перевірка автентичностіі авторизація.

Сам процесдосить простий, можна розібрати його на прикладі будь-якої соціальної мережі:

• Реєстрація– користувач задає електронну пошту, номер телефону та пароль. Це унікальні дані, які не можуть дублюватися в системі, тому і не можна реєструвати більше одного облікового запису на людину.
• Ідентифікація- Введення зазначеної при реєстрації інформації, даному випадкуце електронна поштата пароль.
• Аутентифікація– після натискання кнопки «вхід», сторінка зв'язується із сервером і перевіряє, чи справді існує ця комбінація логіна та пароля. Якщо все правильно, то відкривається особиста сторінкасоціальної мережі.

Різновиди авторизації

Існує кілька видів автентифікації, які відрізняються рівнем захисту та використанням:

• Парольний захист. Користувач знає ключ або пароль, який не відомий більше нікому. Сюди можна віднести ідентифікаціюшляхом отримання смс
• . Використовується у фірмах чи підприємствах. Такий метод має на увазі використаннякарток, брелків, флешок тощо.
• Біометричнаперевірка. Перевіряється сітківка ока, голос, відбитки пальців. Це одна із найпотужніших захисних систем.
• Використання прихованої інформації. Використовується в основному для захисту програмного забезпечення. Відбувається перевірка кеша браузера, розташування, встановленого на ПК обладнання та ін.

Парольний захист

Це найпопулярніший і найпоширеніший спосіб авторизації. При в водіімені та нема кого секретного коду, сервер звіряєте, що ввів користувач і те, що зберігається в мережі. При повній ідентичності даних доступ доступний.

Паролі бувають двох видів: динамічніі постійні. Відрізняються вони тим, що постійні видаються один раз і змінюютьсятільки на вимогу користувача.

Динамічнізмінюються за певними параметрами. Наприклад, при відновлення забутого паролясервер видає саме динамічний пароль для входу.

Використання спеціальних предметів

Як згадувалося вище, найчастіше використовується для доступу до приміщень з обмеженим доступам, банківським системамв.п.

Зазвичай у картку (або будь-який інший предмет) вшивається чіпз унікальним ідентифікатором Коли він стикаєтьсязі зчитувачем, відбувається перевірка і сервер дозволяє або забороняє доступ.

Біометричні системи

В цьому випадку звіряютьсявідбитки пальців, сітківка ока, голос тощо. Це найнадійніша, але й сама дорога системаз усіх.

Сучасне обладнання дозволяє не лише порівнюватирізні точки або ділянки при кожному доступі, але й перевіряє міміку та риси обличчя.

Мережева автентифікація – це те, з чим щодня стикається велика кількістькористувачів Інтернету. Деякі люди не знають про те, що означає даний термін, а багато хто навіть не підозрює про його існування. Майже всі користувачі всесвітньої павутинипочинають робочий день із того, що проходять процес аутентифікації. Вона потрібна при відвідуванні пошти, соціальних мереж, форумів та іншого.

Користувачі стикаються з автентифікацією щодня, самі не підозрюючи.

Аутентифікація - це процедура, за допомогою якої відбувається перевірка даних користувача, наприклад, при відвідуванні того чи іншого ресурсу глобальної мережі. Вона здійснює звірку даних, що зберігаються на веб-порталі, з тими, які показує користувач. Після того, як аутентифікація буде пройдена, ви отримаєте доступ до тієї чи іншої інформації (наприклад, свого поштовій скриньці). Це основа будь-якої системи, яка реалізована на програмному рівні. Найчастіше зазначений термін утилізує більше прості значення, такі як:

• авторизація;
• перевірка автентичності.

Щоб пройти аутентифікацію, необхідно ввести логін та пароль для вашої облікового запису. Залежно від ресурсу вони можуть мати істотні відмінності один від одного. Якщо експлуатувати ідентичні дані на різних сайтах, то ви наразите себе на небезпеку крадіжки вашої персональної інформаціїзловмисниками. У деяких випадках ці відомості можуть видаватися автоматично для кожного користувача. Щоб ввести потрібні дані, як правило, використовується спеціальна форма на ресурсі глобальної мережі або в певному додатку. Після введення потрібної інформації, вони будуть відправлені на сервер для порівняння з тими, що є в базі. Якщо вони збіглися, ви отримаєте доступ до закритої частини сайту. Ввівши неправильні дані, веб-ресурс повідомить про помилку. Перевірте їхню правильність і введіть ще раз.

Яку мережну ідентифікацію вибрати

Багато хто замислюється над тим, яку мережну ідентифікаціювибрати, адже їх є кілька типів. Для початку потрібно визначитися з кожною з них. За підсумками отриманих відомостей кожен вирішує самостійно, якому варіанті зупинитися. Одним із найновіших стандартів мережевої аутентифікаціїє IEEE 802.1х. Він отримав широку підтримку практично у всіх девелоперів обладнання та розробників програмного забезпечення. Цей стандарт підтримує 2 методи аутентифікації: відкриту та з використанням пароля (ключа). У випадку з відкритим методомодна станція може підключитися до іншої без авторизації. Якщо вас не влаштовує це, необхідно утилізувати метод з використанням ключа. У випадку з останнім варіантом пароль шифрується одним із методів:

• WPA-персональна;
• WPA2-персональна.

Найбільш підходящий варіант можна встановити на будь-якому роутері.

Переходимо до налаштувань маршрутизатора

Навіть непідготовлений користувач без проблем зробить всі необхідні конфігурації. Щоб розпочати налаштування приладу, необхідно підключити його до персонального комп'ютераза допомогою кабелю. Якщо ця дія виконана, то відкрийте будь-який веб-браузер і в адресному рядкунаберіть http://192.168.0.1, потім натисніть клавішу Enter. Вказана адресапідходить практично для будь-якого девайсу, але більше точну інформаціюможна прочитати в інструкції. До речі, ця дія і є аутентифікацією, після проходження якої ви отримуєте доступ до закритої інформаціївашого роутера. Ви побачите запит на вхід до інтерфейсу, який допоможе виконати необхідні налаштування. Якщо логін та пароль ніхто не змінював, то за умовчанням практично у всіх моделях від різних компонувальників використовується слово admin в обох полях. Куплений маршрутизатор має відкриту бездротову мережу, Так що до неї можуть підключитися всі охочі. Якщо вас це не влаштовує, її необхідно захистити.

Захищаємо бездротову мережу

У різних моделяхНазви меню та підменю можуть відрізнятися. Для початку потрібно зайти в меню роутера та вибрати налаштування бездротового мережі Wi-Fi. Вказуємо ім'я мережі. Його бачитимуть усі бездротові пристрої, які потрібно підключити до приладу. Далі нам необхідно вибрати один із методів шифрування, список яких наведено вище. Ми рекомендуємо використовувати WPA2-PSK. Вказаний режим є одним із найнадійніших і універсальних. У відповідному полі потрібно вписати вигаданий вами ключ. Він буде використовуватися для

Напевно, кожен користувач комп'ютерних систем(І не тільки) постійно стикається з поняттям аутентифікації. Треба сказати, що не всі чітко розуміють значення цього терміна, постійно плутаючи його з іншими. У загальному сенсіавтентифікація - це дуже об'ємне поняття, яке може включати і сукупність деяких інших термінів, що описують додаткові процеси. Не вдаючись у технічні подробиці, розглянемо, що це таке.

Поняття аутентифікації

Загальним визначенням цього поняття є перевірка справжності чогось. По суті, аутентифікація - це процес, що дозволяє визначити відповідність об'єкта чи суб'єкта якимось раніше зафіксованим унікальним даним чи ознакам. Іншими словами, в якійсь системі є певні характеристики, що вимагають підтвердження для доступу до її основних або прихованим функціям. Зауважте, це саме процес. Його в жодному разі не можна плутати з ідентифікацією (яка є однією з складових частинпроцесу аутентифікації) та авторизацією.

Крім того, розрізняють односторонню та взаємну автентифікацію на основі сучасних методівкриптографії (шифрування даних). Найпростішим прикладом взаємної автентифікації може бути, скажімо, процес двостороннього додавання користувачів до друзів на деяких сайтах соціальних мереж, коли і з того, і з іншого боку потрібно підтвердження дії.

Ідентифікація

Отже. Ідентифікація, з погляду комп'ютерних технологій, є розпізнавання якогось об'єкта або, скажімо, користувача за заздалегідь створеним ідентифікатором (наприклад, логін, ім'я та прізвище, паспортні дані, ідентифікаційний номер і т. д.). Такий ідентифікатор, до речі, згодом використовується при проходженні процедури аутентифікації.

Авторизація

Авторизація - найменш простий спосіб, що забезпечує доступ до певних функцій або ресурсів різних системшляхом введення, наприклад, логіну та паролю. В даному випадку відмінність між поняттями полягає в тому, що при авторизації користувачеві лише надаються певні права, в той час як аутентифікація - це саме порівняння того ж логіна і пароля з даними, зареєстрованими в самій системі, після чого можна отримати доступ до розширених або прихованих функцій того ж інтернет-ресурсу або програмного продукту(Використання коду авторизації).

Напевно, багато хто стикався з ситуацією, коли завантаження файлу з сайту неможливо зробити без авторизації на ресурсі. Ось саме після авторизації і слідує процес аутентифікації, що відкриває таку можливість.

Навіщо потрібна автентифікація

Області, у яких застосовуються процеси аутентифікації, дуже різноманітні. Сам процес дозволяє захистити будь-яку систему від несанкціонованого доступу чи впровадження небажаних елементів. Так, наприклад, аутентифікація широко використовується під час перевірки електронних листівпо відкритого ключаі цифровий підпис, при порівнянні контрольних сумфайлів і т.д.

Розглянемо основні типи аутентифікації.

Типи аутентифікації

Як уже говорилося вище, аутентифікація найбільш широко використовується саме в комп'ютерному світі. Найпростіший приклад було описано з прикладу авторизації при вході певний сайт. Однак основні типи аутентифікації цим не обмежуються.

Одним із головних напрямків, де використовується такий процес, є підключення до Мережі. Буде це провідне з'єднанняабо автентифікація WiFi - не має значення. І в тому, і в іншому випадку процеси аутентифікації практично нічим не відрізняються.

Крім використання логіну або пароля для доступу до мережі, спеціальні програмні модуліпроводять, як кажуть, перевірку законності підключення. Аутентифікація WiFiабо провідного підключенняпередбачає не лише порівняння паролів та логінів. Все набагато складніше. Спочатку перевіряється IP-адреса комп'ютера, ноутбука чи мобільного гаджета.

Але ситуація така, що змінити свій IP у системі можна, що називається, просто. Будь-який, хоч трохи знайомий з цим користувач, може зробити таку процедуру за лічені секунди. Більше того, програм, що автоматично змінюють зовнішній IP, сьогодні на просторах Інтернету можна знайти величезну кількість.

Але далі починається найцікавіше. на даному етапіавтентифікація – це ще й засіб перевірки MAC-адреси комп'ютера чи ноутбука. Напевно, не треба пояснювати, що кожна MAC-адреса унікальна сама по собі, і у світі двох однакових просто не буває. Саме це дозволяє визначити правомірність підключення і доступу до Мережі.

У деяких випадках може виникнути помилка автентифікації. Це може бути пов'язано з неправильною авторизацією або невідповідністю раніше визначеному ідентифікатору. Рідко, але все ж таки бувають ситуації, коли процес не може бути завершений у зв'язку з помилками самої системи.

Найбільш поширена помилка аутентифікації саме при використанні підключення до Мережі, але це в основному стосується лише неправильному введеннюпаролів.

Якщо говорити про інші галузі, найбільш затребуваним такий процес є в біометриці. Саме біометричні системиаутентифікації сьогодні є одними з найнадійніших. Найпоширенішими способами є сканування відбитків пальців, що зустрічається зараз навіть у системах блокування тих самих ноутбуків або мобільних пристроїв, і сканування сітківки ока. Ця технологія застосовується на більш високому рівні, Що забезпечує, скажімо, доступ до секретних документів і т.д.

Надійність таких систем пояснюється просто. Адже, якщо розібратися, у світі не існує двох людей, у яких повністю збігалися б відбитки пальців або структура сітківки ока. Так що такий метод забезпечує максимальний захистщодо несанкціонованого доступу. Крім того, той же біометричний паспорт можна назвати засобом перевірки законослухняного громадянина за наявним ідентифікатором (відбиток пальця) та порівнянням його (а також даних із самого паспорта) з тим, що є в єдиній базі даних.

У цьому випадку автентифікація користувачів і представляється максимально надійною (не рахуючи, звичайно, підробок документів, хоча це досить складна та трудомістка процедура).

Висновок

Хочеться сподіватися, що з вищесказаного буде зрозуміло, що є процесом аутентифікації. Ну а областей застосування, як бачимо, може бути дуже багато, причому в абсолютно різних сферахжиття та

Скільки коштує писати твою роботу?

Виберіть тип роботи Дипломна робота(бакалавр/спеціаліст) Частина дипломної роботи Магістерський диплом Курсова з практикою Курсова теорія Реферат Есе Контрольна роботаАтестаційна робота (ВАР/ВКР) Бізнес-план Питання до екзамену Диплом МВА Дипломна робота (коледж/технікум) Інше Кейси Лабораторна робота, РГР Он-лайн допомога Звіт про практику Пошук інформації Презентація в PowerPoint Реферат для аспірантури Супровідні матеріали до диплому Стаття Тест

Дякую, вам надіслано листа. Перевірте пошту .

Хочете промокод на знижку 15%?

Отримати смс
з промокодом

Успішно!

?Повідомте промокод під час розмови з менеджером.
Промокод можна застосувати один раз під час першого замовлення.
Тип роботи промокоду - " дипломна робота".

Безпека бездротових мереж

Запит на ідентифікацію клієнта (EAP-request/identity message). Автентифікатор може надіслати EAP-request самостійно, якщо побачить, що якийсь із його портів перейшов в активний стан.

Клієнт у відповідь надсилає EAP-response packet з необхідними даними, що точка доступу (автентифікатор) перенаправляє у бік Radius-сервера (сервера аутентифікації).

Сервер автентифікації надсилає автентифікатору (точці доступу) challenge-пакет (запит інформації про справжність клієнта). Аутентифікатор надсилає його клієнту.

Далі відбувається процес взаємної ідентифікації сервера та клієнта. Кількість стадій пересилання пакетів туди-сюди варіюється в залежності від методу EAP, але для бездротових мереж прийнятна лише "strong" автентифікація із взаємною автентифікацією клієнта та сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) та попереднім шифруванням каналу зв'язку.

На наступній стадії, сервер аутентифікації, отримавши від клієнта необхідну інформацію, дозволяє (accept) або забороняє (reject) доступ, з пересиланням цього повідомлення аутентифікатору. Аутентифікатор (точка доступу) відкриває порт для Supplicant, якщо з боку RADIUS-сервера прийшла позитивна відповідь (Accept).

Порт відкривається, аутентифікатор пересилає клієнту повідомлення про успішне завершення процесу, і клієнт отримує доступ до мережі.

Після відключення клієнта, порт на точці доступу знову перетворюється на стан «закритий».

Для комунікації між клієнтом (supplicant) та точкою доступу (authenticator) використовуються пакети EAPOL. Протокол RADIUS використовується для обміну інформацією між аутентифікатором (точкою доступу) та RADIUS-сервером (сервером аутентифікації). При транзитному пересиланні інформації між клієнтом та сервером автентифікації пакети EAP перепакуються з одного формату до іншого на автентифікаторі.

Типи аутентифікації

Тип методу аутентифікації, який використовує протокол EAP та протокол безпеки, що називається протоколом захисту транспортного рівня (Transport Layer Security - TLS). EAP-TLS використовує сертифікати на основі паролів. Аутентифікація EAP-TLS підтримує динамічне керування WEP-ключом. Протокол TLS необхідний захисту та автентифікації комунікацій у мережах загального користування шляхом шифрування даних. Протокол квитування TLS дозволяє клієнту та серверу до надсилання даних провести взаємну автентифікацію та виробити алгоритм та ключі шифрування.

Ці налаштування визначають протокол та ідентифікаційну інформацію, що використовується для автентифікації користувача. В аутентифікації TTLS (Tunneled Transport Layer Security) клієнт використовує EAP-TLS для перевірки автентичності сервера та створення каналу між сервером та клієнтом, шифрованого за допомогою TLS. Клієнт може використовувати інший автентифікаційний протокол. Зазвичай протоколи на основі паролів використовуються через неоголошений захищений TLS-шифрований канал. В даний час TTLS підтримує всі методи, що застосовуються в ЄАР, а також деякі старіші методи (PAP, CHAP, MS-CHAP та MS-CHAP-V2). TTLS легко розширюється для роботи з новими протоколами шляхом встановлення нових атрибутів для опису нових протоколів.

PEAP - це новий автентифікаційний протокол EAP (Extensible Authentication Protocol - EAP) стандарту IEEE 802.1X, розроблений для покращення системи захисту EAP-Transport Layer Security (EAP-TLS) та підтримки різних методів автентифікації, що включають паролі користувачів, одноразові паролі та карти доступу ( Generic Token Cards).

Версія протоколу аутентифікації Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) являє собою спеціальний протокол автентифікації, що розширюється, розроблений Cisco, який відповідає за забезпечення процедури автентифікації "запит/відповідь" і призначення динамічного ключа.

Протокол EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) – це механізм автентифікації та розповсюдження ключів сеансу. Він використовує модуль ідентифікації передплатника SIM (Subscriber Identity Module) системи глобального позиціонування мобільних комунікацій GSM (Global System for Mobile Communications). Аутентифікація EAP-SIM використовує динамічний WEP-ключ, створений спеціально для сеансу, отриманий для шифрування даних адаптера клієнта або сервера RADIUS. Для EAP-SIM необхідний спеціальний код перевірки користувача або PIN для забезпечення взаємодії із SIM-карткою (Subscriber Identity Module). SIM-картка – це спеціальна смарт-картка, яка використовується у бездротових цифрових мережах стандарту GSM (Global System for Mobile Communications). Опис протоколу EAP-SIM представлений у документації RFC 4186.

Метод аутентифікації EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) - це механізм EAP, що використовується для аутентифікації та сеансу розповсюдження ключів, який використовується передплатником модуля ідентифікації USIM (Subscriber Identity Module) універсальної мобільної телекомунікаційної системи UMTS (Universal Mobile Telecommunications System). Карта USIM – це спеціальна смарт-картка, призначена для перевірки справжності користувачів у стільникових мережах.

Протоколи аутентифікації

Протокол PAP (Password Authentication Protocol) – двосторонній протокол обміну підтвердженнями, призначений для використання з протоколом PPP. PAP є звичайним текстовим паролем, що використовується в ранніх системах SLIP. Він не захищений. Цей протокол доступний лише для типу аутентифікації TTLS.

CHAP (Challenge Handshake Authentication Protocol) – це тристоронній протокол обміну підтвердженнями, що передбачає кращий захист, ніж протокол автентифікації PAP (Password Authentication Protocol). Цей протокол доступний лише для типу аутентифікації TTLS.

MS-CHAP (MD4)

Використовує версію Microsoft протоколу RSA Message Digest 4. Працює лише в системах Microsoft і дозволяє шифрувати дані. Вибір цього методу аутентифікації викликає шифрування всіх даних, що передаються. Цей протокол доступний лише для типу аутентифікації TTLS.

MS-CHAP-V2

Надає додаткову можливість зміни пароля, недоступну з MS-CHAP-V1 або стандартною автентифікацією CHAP. Ця функція дозволяє клієнту змінювати пароль облікового запису, якщо сервер RADIUS повідомляє про те, що термін дії пароля минув. Цей протокол доступний лише для типів автентифікації TTLS та PEAP.

GTC (Generic Token Card)

Пропонує використання спеціальних карток для аутентифікації. Головна функція заснована на аутентифікації за допомогою цифрового сертифіката/спеціальної плати GTC. Крім того, GTC є можливість приховування ідентифікаційної інформації користувача під час використання шифрованого тунелю TLS, що забезпечує додаткову конфіденційність, засновану на забороні широкого розсилання імен користувачів на стадії аутентифікації. Цей протокол доступний лише для типу аутентифікації PEAP.

Протокол TLS необхідний захисту та автентифікації комунікацій у мережах загального користування шляхом шифрування даних. Протокол квитування TLS дозволяє клієнту та серверу до надсилання даних провести взаємну автентифікацію та виробити алгоритм та ключі шифрування. Цей протокол доступний лише для типу аутентифікації PEAP.

Функції Cisco.

Cisco Leap.

Cisco LEAP (Cisco Light EAP) – це автентифікація сервера та клієнта 802.1X за допомогою пароля, що надається користувачем. Коли точка доступу бездротової мережі взаємодіє з LEAP-сумісним сервером Cisco RADIUS (сервер Cisco Secure Access Control Server), Cisco LEAP здійснює управління доступом через взаємну автентифікацію між адаптерами WiFi клієнтів і мережею, і надає динамічні, індивідуальні ключі шифрування користувачів для захисту конфіденційності. .

Функція захисту точки доступу Cisco Rogue.

Функція Cisco Rogue AP забезпечує захист від спроби доступу фальшивої або неприпустимої точки доступу, яка може імітувати реальну точку доступу в мережі для отримання ідентифікаційної інформації користувачів та протоколів автентифікації, порушуючи тим самим цілісність захисту мережі. Ця функція працює лише у середовищі автентифікації Cisco LEAP. Технологія стандарту 802.11 не захищає мережу від несанкціонованого доступу до фальшивих точок доступу. Докладнішу інформацію див. у розділі Аутентифікація LEAP.

Протокол безпеки у змішаних середовищах 802.11b та ​​802.11g.

Режим роботи, коли деякі точки доступу, наприклад Cisco 350 або Cisco 1200 підтримують середовища, в яких не всі клієнтські станції підтримують WEP-шифрування, називається змішаним режимом (Mixed-Cell). Коли деякі бездротові мережі працюють у режимі "вибіркового шифрування", клієнтські станції, що підключилися до мережі в режимі WEP-шифрування, надсилають усі повідомлення у шифрованому вигляді, а станції, що підключилися до мережі у стандартному режимі, передають усі повідомлення нешифрованими. Ці точки доступу передають широкомовні повідомлення нешифрованими, але дозволяють клієнтам використовувати режим WEP-шифрування. Коли "змішаний режим" дозволено у профілі, ви можете підключитися до точки доступу, яка налаштована для "додаткового шифрування".

Cisco Key Integrity Protocol (CKIP) – це власний протокол захисту Cisco для шифрування в середовищі 802.11. Протокол CKIP використовує такі особливості для вдосконалення захисту 802.11 у режимі "infrastructure":

Швидкий роумінг (CCKM)

Коли бездротова ЛЗ налаштована для швидкого повторного підключення, клієнт з активною підтримкою протоколу LEAP може переміщатися від однієї точки доступу до іншої без втручання головного сервера. Використовуючи централізоване управління Cisco (CCKM), точка доступу, налаштована для забезпечення роботи бездротової служби доменів (Wireless Domain Services - WDS), замінює сервер RADIUS і аутентифікує клієнта без істотних затримок, які можливі для голосових або інших залежних від часу додатків.

Управління радіообміном

Якщо цю функцію увімкнено, адаптер WiFi забезпечує інформацію керування радіообміном для режиму Cisco Infrastructure. Якщо програма Cisco Radio Management використовується в мережі infrastructure, вона конфігурує параметри радіообміну, визначає рівень перешкод і фіктивні точки доступу.

EAP-FAST

EAP-FAST, подібно до EAP-TTLS і PEAP, використовує тунелювання для захисту мережевого трафіку. Головна відмінність полягає в тому, що EAP-FAST не використовує сертифікати для автентифікації. Аутентифікація в середовищі EAP-FAST є єдиним комунікаційним обміном, який ініціюється клієнтом, коли ідентифікація EAP-FAST запрошена сервером. Якщо клієнт не має попередньо опублікованого ключа Protected Access Credential (PAC), він може запросити автентифікаційний обмін EAP-FAST для динамічного отримання ключа від сервера.

EAP-FAST має два методи доставки ключа PAC: доставка вручну за допомогою позасмугового механізму та автоматичного входу.

Механізми доставки вручну представляються будь-яким способом передачі, найбільш захищені і обрані адміністратором.

Автоматичний вхід є тунельованим шифрованим каналом, необхідним для забезпечення безпечної автентифікації клієнта та доставки клієнту ключа PAC. Цей механізм не такий захищений, як метод аутентифікації вручну, але надійніший, ніж аутентифікація LEAP.

Метод EAP-FAST можна розділити на дві частини: вхід та автентифікація. Фаза входу є початковою доставкою клієнту ключа PAC. Ця частина потрібна клієнту та користувачу лише один раз.

Шифрування

Детальний розгляд алгоритмів шифрування, а також методи генерації сесійних ключів шифрування, мабуть, виходять за рамки даного матеріалу, тому розгляну лише коротко.

Початкова аутентифікація проводиться на основі загальних даних, про які знають і клієнт, і сервер аутентифікації (як-от логін/пароль, сертифікат і т.д.) - на цьому етапі генерується Master Key. Використовуючи Master Key, сервер аутентифікації та клієнт генерують Pairwise Master Key (парний майстер ключ), який передається аутентифікатору сервера аутентифікації. А вже на основі Pairwise Master Key і генеруються всі інші динамічні ключі, яким і закривається трафік, що передається. Необхідно відзначити, що сам Pairwise Master Key теж підлягає динамічній зміні.

Незважаючи на те, що попередник WPA, протокол WEP, не мав жодних механізмів аутентифікації взагалі, ненадженість WEP полягає у криптографічній слабкості алгоритму шифрування, ключова проблема WEP криється в схожих ключах для різних пакетів даних.

Частини TKIP, MIC та 802.1X рівняння WPA відіграють свою роль у посиленні шифрування даних мереж із WPA:

TKIP збільшує розмір ключа з 40 до 128 біт і замінює один статичний ключ WEP ключами, які автоматично створюються та розповсюджуються сервером автентифікації. TKIP використовує ієрархію ключів та методологію управління ключами, яка прибирає передбачуваність, що використовувалася зломщиками для зняття захисту ключа WEP.

Для цього TKIP посилює структуру 802.1X/EAP. Сервер аутентифікації після прийняття мандата користувача (credential) використовує 802.1X для створення унікального основного ключа (двостороннього) для даного сеансу зв'язку. TKIP передає цей ключ клієнту та точці доступу, потім налаштовує ієрархію ключів та систему керування, використовуючи двосторонній ключ для динамічного створення ключів шифрування даних, які використовуються для шифрування кожного пакета даних, що передаються бездротовою мережею під час сеансу користувача. Ієрархія ключів TKIP замінює один статичний ключ WEP на приблизно 500 мільярдів можливих ключів, які будуть використовуватися для шифрування цього пакету даних.

Перевірка цілісності повідомлень (Message Integrity Check, MIC) призначена для запобігання захопленню пакетів даних, зміни їх вмісту та повторного пересилання. MIC побудована на базі потужної математичної функції, яку застосовують відправник та одержувач, а потім порівнюють результат. Якщо він не збігається, дані вважаються помилковими і пакет відкидається.

За допомогою значного збільшення розміру ключів і числа ключів, що використовуються, а також створення механізму перевірки цілісності, TKIP примножує складність декодування даних у бездротовій мережі. TKIP значно збільшує силу і складність бездротового шифрування, роблячи процес вторгнення в бездротову мережу набагато складнішим, а то й неможливим взагалі.

Важливо, що механізми шифрування, що використовуються для WPA та WPA-PSK, є однаковими. Єдина відмінність WPA-PSK полягає в тому, що там аутентифікація здійснюється за яким-небудь паролем, а не мандатом користувача. Деякі напевно помітять, що підхід з використанням пароля робить WPA-PSK вразливою для атаки методом підбору, і в чомусь вони мають рацію. Але ми хотіли б відзначити, що WPA-PSK знімає плутанину з ключами WEP, замінюючи їх цілісною та чіткою системою на основі цифробуквенного пароля. Robert Moskowitz із ICSA Labs виявив, що ключова фраза WPA може бути зламана. Це відбувається через те, що хакер може змусити точку доступу регенерувати обмін ключами менш ніж за 60 секунд. І навіть якщо обмін ключами досить безпечний для миттєвого злому, його можна буде зберегти та використовувати для офлайнового перебору. Ще одне питання полягає в тому, що EAP передає дані відкритим текстом. Спочатку для шифрування EAP сесій використовувався Transport Layer Security (TLS), але для роботи на кожному клієнті потрібен сертифікат. TTLS дещо виправив цю проблему. Тут, починаючи з Service Pack 2, під час роботи з бездротовими мережами дозволяє використовувати аутентифікацію за логіном/паролем (тобто PEAP) та аутентифікацію за цифровим сертифікатом (EAP-TLS).

Злам бездротової мережі з протоколом WPA

Але на жаль навіть протокол не такий уже й захищений. Процедура зламування мереж з протоколом WPA мало чим відрізняється від вже розглянутої нами процедури зламування мереж з WEP-протоколом.

На першому етапі використовується той самий сніффер airodump. Однак тут є два важливі моменти, які необхідно враховувати. По-перше, як вихідний файл необхідно використовувати саме cap-, а не ivs-файл. Для цього в налаштуванні утиліти airodump на останнє запитання – Only write WEP IVs (y/n) – відповідаємо «ні».

По-друге, в cap-файл необхідно захопити саму процедуру ініціалізації клієнта в мережі, тобто доведеться посидіти в засідці із запущеною програмою airodump. Якщо використовується Linux-система, то можна зробити атаку, яка змусить зробити процедуру переініціалізації клієнтів мережі, а ось під Windows така програма не передбачена.

Після того, як у cap-файл захоплена процедура ініціалізації клієнта мережі, можна зупинити програму airodump і приступити до процесу розшифровки. Власне, накопичувати перехоплені пакети у разі немає необхідності, оскільки обчислення секретного ключа використовуються лише пакети, передані між точкою доступу і клієнтом під час ініціалізації.

Для аналізу отриманої інформації застосовується та ж утиліта aircrack, але з дещо іншими параметрами запуску. Крім того, в директорію із програмою aircrack доведеться встановити ще один важливий елемент – словник. Такі спеціалізовані словники можна знайти в Інтернеті.

Після цього запускаємо з командного рядка програму aircrack, вказуючи як вихідний файл cap-файл (наприклад, out.cap) і назву словника (параметр -w all, де all - назва словника).

Програма перебору ключів зі словника дає дуже інтенсивне навантаження на процесор, і якщо використовувати малопотужний ПК, для виконання цієї процедури знадобиться багато часу. Якщо для цієї мети задіюється потужний багатопроцесорний сервер або ПК на базі двоядерного процесора, то в якості опції можна вказати кількість використовуваних процесорів. Наприклад, якщо використовувати двоядерний процесор Intel Pentium Extreme Edition Processor 955 з підтримкою технології Hyper-Threading (чотири логічні ядра процесора), і в параметрах запуску програми вказати опцію –p 4, що дозволить утилізувати всі чотири логічні ядра процесора (при цьому кожне ядро ​​утилізується на 100%), то пошук секретного ключа піде десь півтори години.

Це, звичайно, не кілька секунд, як у випадку з WEP-шифруванням, але теж непоганий результат, який чудово демонструє, що і WPA-PSK-захист не є абсолютно надійним, причому результат злому секретного ключа ніяк не пов'язаний з тим, який алгоритм шифрування (TKIP або AES) використовується у мережі.

Стандарт безпеки WPA2

WPA2 (Wireless Protected Access ver. 2.0) – це друга версія набору алгоритмів та протоколів, які забезпечують захист даних у бездротових мережах Wi-Fi. Як передбачається, WPA2 має суттєво підвищити захищеність бездротових мереж Wi-Fi у порівнянні з колишніми технологіями. Новий стандарт передбачає, зокрема, обов'язкове використання потужнішого алгоритму шифрування AES (Advanced Encryption Standard) та автентифікації 802.1X.

На сьогоднішній день для забезпечення надійного механізму безпеки в корпоративній бездротовій мережі необхідно (і обов'язково) використання пристроїв та програмного забезпечення з підтримкою WPA2. Попередні покоління протоколів - WEP та WPA містять елементи з недостатньо сильними захистом та алгоритмами шифрування. Більше того, для злому мереж із захистом на основі WEP вже розроблено програми та методики, які можуть бути легко завантажені з мережі Інтернет та з успіхом використані навіть непідготовленими хакерами-новачками.

Протоколи WPA2 працюють у двох режимах аутентифікації: персональному (Personal) та корпоративному (Enterprise). В режимі WPA2-Personalіз введеної відкритим текстом парольної фрази генерується 256-розрядний ключ PSK (PreShared Key). Ключ PSK спільно з ідентифікатором SSID (Service Set Identifier) ​​використовуються для генерації тимчасових сеансових ключів PTK (Pairwise Transient Key), для взаємодії бездротових пристроїв. Як і статичному протоколу WEP, протоколу WPA2-Personal властиво певні проблеми, пов'язані з необхідністю розподілу та підтримки ключів на бездротових пристроях мережі, що робить його більш придатним для застосування в невеликих мережах з десятка пристроїв, у той час як для корпоративних мереж оптимальний WPA2 -Enterprise.

В режимі WPA2-Enterpriseвирішуються проблеми, що стосуються розподілу статичних ключів та управління ними, а його інтеграція з більшістю корпоративних сервісів автентифікації забезпечує контроль доступу на основі облікових записів. Для роботи в цьому режимі потрібні такі реєстраційні дані, як ім'я та пароль користувача, сертифікат безпеки або одноразовий пароль, аутентифікація здійснюється між робочою станцією і центральним сервером аутентифікації. Точка доступу або бездротовий контролер проводять моніторинг підключень і надсилають автентифікаційні запити на відповідний сервер автентифікації (зазвичай це сервер RADIUS, наприклад Cisco ACS). Базою для режиму WPA2-Enterprise служить стандарт 802.1X, що підтримує автентифікацію користувачів та пристроїв, придатну як для дротяних комутаторів, так і для бездротових точок доступу.

На відміну від WPA використовується більш стійкий алгоритм шифрування AES. За аналогією з WPA, WPA2 також поділяється на два типи: WPA2-PSK та WPA2-802.1x.

Передбачає нові, більш надійні механізми забезпечення цілісності та конфіденційності даних:

Протокол CCMP (Counter-Mode-CBC-MAC Protocol), заснований на режимі Counter Cipher-Block Chaining Mode (CCM) алгоритму шифрування Advanced Encryption Standard (AES). CCM об'єднує два механізми: Counter (CTR) для забезпечення конфіденційності та Cipher Block Chaining Message Authentication Code (CBC-MAC) для автентифікації.

Протокол WRAP (Wireless Robust Authentication Protocol), заснований на режимі Offset Codebook (OCB) алгоритму шифрування AES.

Протокол TKIP для забезпечення зворотної сумісності з обладнанням, що раніше випускалося. Взаємна автентифікація та доставка ключів на основі протоколів IEEE 802.1x/EAP. Безпечний Independent Basic Service Set (IBSS) для підвищення безпеки в мережах Ad-Hoc. Підтримка роумінгу.

Вклад у безпекову безпеку мереж механізм CCMP і стандарт IEEE 802.11i. Останній вводить поняття надійно захищеної мережі (Robust Security Network, RSN) та надійно захищеного мережевого з'єднання (Robust Security Network Association, RSNA), після чого ділить усі алгоритми на:

RSNA-алгоритми (для створення та використання RSNA);

Pre-RSNA-алгоритми.

До Pre-RSNA-алгоритмів відносяться:

існуюча автентифікація IEEE 802.11 (мається на увазі автентифікація, визначена у стандарті редакції 1999).

Тобто до даних типів алгоритмів відносяться аутентифікація Open System з WEP-шифруванням або без (точніше, відсутність аутентифікації) та Shared Key.

До RSNA-алгоритмів відносяться:

TKIP; CCMP; процедура встановлення та термінації RSNA (включаючи використання IEEE 802.1x аутентифікації); процедура обміну ключами

При цьому алгоритм CCMP є обов'язковим, а TKIP опціональним і призначений для забезпечення сумісності зі старими пристроями.

Стандартом передбачені дві функціональні моделі: з автентифікацією за IEEE 802.1x, тобто із застосуванням протоколу EAP, та за допомогою наперед визначеного ключа, прописаного на автентифікаторі та клієнті (такий режим називається Preshared Key, PSK). У цьому випадку ключ PSK виконує роль ключа PMK, і подальша процедура їхньої аутентифікації та генерації нічим не відрізняється.

Оскільки алгоритми шифрування, що використовують процедуру TKIP, вже прийнято називати WPA, а процедуру CCMP – WPA2, можна сказати, що способами шифрування, що задовольняють RSNA, є: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key , WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Процедура встановлення з'єднання та обміну ключами для алгоритмів TKIP та CCMP однакова. Сам CCMP (Counter mode (CTR) with CBC-MAC (CBC) with Message Authentication Code (MAC) Protocol) так само, як і TKIP, покликаний забезпечити конфіденційність, аутентифікацію, цілісність та захист від атак відтворення. алгоритм заснований на методі CCM-алгоритму шифрування AES, який визначено у специфікації FIPS PUB 197. Усі AES-процеси, що застосовуються в CCMP, використовують AES зі 128-бітовим ключем та 128-бітовим розміром блоку.

Останнім нововведенням стандарту є підтримка технології швидкого роумінгу між точками доступу за допомогою процедури кешування ключа PMK та преаутентифікації.

Процедура кешування PMK полягає в тому, що якщо клієнт один раз пройшов повну автентифікацію при підключенні до якоїсь точки доступу, він зберігає отриманий від неї ключ PMK, і при наступному підключенні до цієї точки у відповідь на запит про підтвердження справжності клієнт пошле раніше отриманий ключ PMK. На цьому автентифікація закінчиться, тобто 4-сторонній рукостискання (4-Way Handshake) виконуватися не буде.

Процедура преаутентифікації полягає в тому, що після того, як клієнт підключився і пройшов аутентифікацію на точці доступу, він може паралельно (заздалегідь) пройти аутентифікацію на решті точок доступу (які він «чує») з таким же SSID, тобто заздалегідь отримати від них ключ PMK. І якщо надалі точка доступу, до якої він підключений, вийде з ладу або її сигнал виявиться слабшим, ніж якийсь інший точки з таким самим ім'ям мережі, то клієнт здійснить перепідключення за швидкою схемою із закешованим ключем PMK.

Специфікація WEP2, що з'явилася в 2001 р., яка збільшила довжину ключа до 104 біт, не вирішила проблеми, оскільки довжина вектора ініціалізації та спосіб перевірки цілісності даних залишилися колишніми. Більшість типів атак реалізовувалися так само просто, як і раніше.

Висновок

Наприкінці я хотів би підсумувати всю інформацію та дати рекомендації щодо захисту бездротових мереж.

Існує три механізми захисту бездротової мережі: налаштувати клієнт та AP на використання одного (не вибирається за замовчуванням) SSID, дозволити AP зв'язок тільки з клієнтами, MAC-адреси яких відомі AP, та налаштувати клієнти на аутентифікацію в AP та шифрування трафіку. Більшість AP налаштовуються на роботу з SSID, що вибирається за замовчуванням, без ведення списку дозволених MAC-адрес клієнтів і з відомим загальним ключем для аутентифікації та шифрування (або взагалі без аутентифікації та шифрування). Зазвичай, ці параметри документовані в оперативній довідковій системі на Web-вузлі виробника. Завдяки цим параметрам недосвідчений користувач може легко організувати бездротову мережу і почати працювати з нею, але одночасно вони спрощують хакерам завдання проникнення в мережу. Положення посилюється тим, що більшість вузлів доступу настроєно на широкомовну передачу SSID. Тому зломщик може знайти вразливі мережі за стандартним SSID.

Перший крок до безпечної бездротової мережі - змінити SSID вузла доступу, що вибирається за замовчуванням. Крім того, слід змінити цей параметр на клієнта, щоб забезпечити зв'язок з AP. Зручно призначити SSID, що має сенс для адміністратора та користувачів підприємства, але не явно ідентифікує бездротову мережу серед інших SSID, перехоплюваних сторонніми особами.

Наступний крок - за можливості блокувати широкомовну передачу SSID вузлом доступу. В результаті зломщику стає складніше (хоча така можливість зберігається) виявити присутність бездротової мережі та SSID. У деяких AP скасувати широкомовну передачу SSID не можна. У разі слід максимально збільшити інтервал широкомовної передачі. Крім того, деякі клієнти можуть встановлювати зв'язок лише за умови широкомовної передачі SSID вузлом доступу. Таким чином, можливо, доведеться провести експерименти з цим параметром, щоб вибрати режим, який підходить у конкретній ситуації.

Після цього можна дозволити доступ до вузлів доступу тільки від бездротових клієнтів з відомими MAC-адресами. Такий захід навряд чи є доречним у великій організації, але на малому підприємстві з невеликою кількістю бездротових клієнтів це надійна додаткова лінія оборони. Зломщикам потрібно з'ясувати MAC-адреси, яким дозволено підключатися до AP підприємства, та замінити MAC-адресу власного бездротового адаптера дозволеним (у деяких моделях адаптерів MAC-адресу можна змінити).

Вибір параметрів аутентифікації та шифрування може бути найскладнішою операцією захисту бездротової мережі. Перш ніж призначити параметри, необхідно провести інвентаризацію вузлів доступу та бездротових адаптерів, щоб встановити протоколи безпеки, що підтримуються ними, особливо якщо бездротова мережа вже організована з використанням різноманітного обладнання від різних постачальників. Деякі пристрої, особливо старі AP та бездротові адаптери, можуть бути несумісними з WPA, WPA2 або WEP збільшеною довжиною.

Ще одна ситуація, про яку слід пам'ятати, - необхідність введення користувачами деяких старих пристроїв шістнадцяткового числа, що представляє ключ, а в інших старих AP та бездротових адаптерах потрібно ввести фразу-пароль, що перетворюється на ключ. В результаті важко досягти застосування одного ключа всім обладнанням. Власники такого обладнання можуть використовувати такі ресурси, як WEP Key Generator, для генерації випадкових ключів WEP та перетворення фраз-паролей у шістнадцяткові числа.

Загалом WEP слід застосовувати лише у випадках крайньої потреби. Якщо використання WEP є обов'язковим, варто вибирати ключі максимальної довжини та налаштувати мережу на режим Open замість Shared. У режимі Open у мережі аутентифікація клієнтів не виконується, і встановити з'єднання з вузлами доступу може кожен. Ці підготовчі з'єднання частково завантажують бездротовий канал зв'язку, але зловмисники, які встановили з'єднання AP, не зможуть продовжувати обмін даними, оскільки не знають ключа шифрування WEP. Можна навіть блокувати попередні з'єднання, налаштувавши AP на прийом з'єднань тільки від відомих MAC-адрес. На відміну від Open, у режимі Shared вузол доступу використовує ключ WEP для автентифікації бездротових клієнтів у процедурі запит-відгук, і зломщик може розшифрувати послідовність та визначити ключ шифрування WEP.

Якщо можна застосувати WPA, необхідно вибрати між WPA, WPA2 і WPA-PSK. Головним фактором при виборі WPA або WPA2, з одного боку, та WPA-PSK - з іншого, є можливість розгорнути інфраструктуру, необхідну WPA та WPA2 для автентифікації користувачів. Для WPA та WPA2 потрібно розгорнути сервери RADIUS і, можливо, Public Key Infrastructure (PKI). WPA-PSK, як і WEP, працює із загальним ключем, відомим бездротовому клієнту та AP. WPA-PSK можна сміливо використовувати загальний ключ WPA-PSK для автентифікації та шифрування, оскільки йому не притаманний недолік WEP.