Segurança Wi-Fi. Proteção Wi-Fi adequada. Segurança em redes WiFi. Criptografia WEP, WPA, WPA2

Hoje muitos têm Wi-Fi em casa roteador. Afinal, sem fio é muito mais fácil conectar à Internet um laptop, um tablet e um smartphone, que são mais do que pessoas em cada família. E ele (o roteador) é essencialmente a porta de entrada para o universo da informação. Leia a porta da frente. E depende desta porta se um convidado indesejado virá até você sem a sua permissão. Portanto, é muito importante ficar atento configuração correta roteador para que sua rede sem fio não fique vulnerável.

Acho que não preciso lembrá-lo de que ocultar o SSID do ponto de acesso não protege você. Restringir o acesso por endereço MAC não é eficaz. Portanto, apenas métodos modernos de criptografia e uma senha complexa.

Por que criptografar? Quem precisa de mim? não tenho nada a esconder

Não é tão assustador se o seu código PIN for roubado Cartão de crédito e eles vão tirar todo o dinheiro dela. Além disso, se alguém navegar na Internet às suas custas, sabendo a senha do Wi-Fi. E não é tão assustador se suas fotos de festas corporativas forem publicadas onde você parece feio. É muito mais ofensivo quando invasores entram no seu computador e apagam fotos de como você pegou seu filho na maternidade, como ele deu os primeiros passos e foi para a primeira série. Os backups são um tópico separado, é claro que precisam ser feitos... Mas com o tempo, sua reputação pode ser restaurada, você pode ganhar dinheiro, mas as fotos que lhe são caras não estão mais lá. Acho que todo mundo tem algo que não quer perder.
Seu roteador é um dispositivo de fronteira entre o privado e o público, portanto, certifique-se de que esteja totalmente protegido. Além disso, não é tão difícil.

Tecnologias e algoritmos de criptografia

Estou deixando de fora a teoria. Não importa como funciona, o principal é saber utilizá-lo.
Tecnologias de segurança sem fio desenvolvidas na seguinte ordem cronológica: WEP, WPA, WPA2. Os métodos de criptografia RC4, TKIP, AES também evoluíram.
O melhor em termos de segurança hoje é a combinação WPA2-AES. É exatamente assim que você deve tentar configurar o Wi-Fi. Deve ser algo assim:

O WPA2 é obrigatório desde 16 de março de 2006. Mas às vezes você ainda pode encontrar equipamentos que não suportam isso. Em particular, se você tiver o Windows XP instalado em seu computador sem o terceiro service pack, o WPA2 não funcionará. Portanto, por questões de compatibilidade, nos roteadores você pode encontrar opções de configuração WPA2-PSK -> AES+TKIP e outro zoológico.
Mas se a sua frota de dispositivos for moderna, então é melhor usar WPA2 (WPA2-PSK) -> AES, como a opção mais segura atualmente.

Qual é a diferença entre WPA(WPA2) e WPA-PSK(WPA2-PSK)

O padrão WPA fornece o Extensible Authentication Protocol (EAP) como base para o mecanismo de autenticação do usuário. Uma condição indispensável para a autenticação é a apresentação pelo usuário de um certificado (também chamado de credencial) confirmando seu direito de acesso à rede. Para obter este direito, o usuário é verificado em um banco de dados especial de usuários registrados. Sem autenticação, o usuário estará proibido de utilizar a rede. Base de usuários cadastrados e sistema de verificação em grandes redes geralmente localizado em servidor especial(na maioria das vezes RAIO).
O modo de chave pré-compartilhada simplificada (WPA-PSK, WPA2-PSK) permite que você use uma senha, que é armazenada diretamente no roteador. Por um lado, tudo é simplificado, não há necessidade de criar e manter uma base de usuários, por outro lado, todos fazem login com a mesma senha.
Em casa é mais aconselhável usar WPA2-PSK, ou seja, o modo simplificado do padrão WPA. A segurança do Wi-Fi não sofre com esta simplificação.

Senha de acesso Wi-Fi

Tudo é simples aqui. A senha do seu ponto de acesso sem fio (roteador) deve ter mais de 8 caracteres e conter letras maiúsculas, números e sinais de pontuação diferentes. E ele não deveria estar associado a você de forma alguma. Isso significa que datas de nascimento, seus nomes, números de carro, números de telefone, etc. não podem ser usados ​​como senha.
Como é quase impossível quebrar o WPA2-AES de frente (houve apenas alguns casos simulados em condições de laboratório), os principais métodos para quebrar o WPA2 são o ataque de dicionário e a força bruta (pesquisa sequencial de todas as opções de senha). Portanto, quanto mais complexa a senha, menores são as chances dos invasores.

... na URSS, os armários automáticos tornaram-se difundidos nas estações ferroviárias. O código de bloqueio era uma letra e três números. No entanto, poucas pessoas sabem que a primeira versão dos armários de armazenamento usava 4 dígitos como combinação de código. Que diferença pareceria? Afinal, o número de combinações de códigos é o mesmo – 10.000 (dez mil). Mas, como a prática tem mostrado (especialmente o Departamento de Investigação Criminal de Moscou), quando uma pessoa foi solicitada a usar uma combinação de 4 dígitos como senha para um armário de armazenamento, muitas pessoas usaram seu ano de nascimento (para não esquecer ). O que os invasores usaram com bastante sucesso. Afinal, eram conhecidos os dois primeiros dígitos da data de nascimento da maioria absoluta da população do país - 19. Resta determinar a olho nu a idade aproximada do despachante da bagagem, e qualquer um de nós pode fazer isso com uma precisão de +/- 3 anos, e o restante que obtemos (mais precisamente, os invasores) é menos 10 combinações para selecionar um código de acesso celular câmera automática armazenar...

Senha mais popular

A preguiça e a irresponsabilidade humanas cobram seu preço. Aqui está uma lista das senhas mais populares:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Data de nascimento
7. Número de celular

Regras de segurança ao criar uma senha

1. Cada um na sua. Ou seja, a senha do roteador não deve corresponder a nenhuma outra senha que você possua. Do correio, por exemplo. Estabeleça como regra que todas as contas tenham suas próprias senhas e sejam todas diferentes.
2. Use senhas fortes que não possam ser adivinhadas. Por exemplo: 2Rk7-kw8Q11vlOp0

você Senha do wifi há uma grande vantagem. Você não precisa se lembrar disso. Você pode escrever em um pedaço de papel e colá-lo na parte inferior do roteador.

Zona Wi-Fi para convidados

Se o seu roteador permitir, você pode organizar uma área para convidados. Então certifique-se de fazer isso. Protegendo-o naturalmente com WPA2 e uma senha forte. E agora, quando amigos chegam à sua casa e pedem acesso à Internet, você não precisa mais informar sua senha principal. Além disso, a zona convidada nos roteadores é isolada da rede principal. E quaisquer problemas com os dispositivos dos seus convidados não afetarão a sua rede doméstica.

Hoje vamos nos aprofundar um pouco mais no tema proteção. conexão sem fio. Vamos descobrir o que é - também chamado de “autenticação” - e qual é melhor escolher. Você provavelmente já encontrou abreviações como WEP, WPA, WPA2, WPA2/PSK. E também algumas de suas variedades - Personal ou Enterprice e TKIP ou AES. Bem, vamos dar uma olhada em todos eles e descobrir que tipo de criptografia escolher para garantir velocidade máxima sem sacrificar a velocidade.

Noto que para proteger o seu Senha do wifi necessário, independentemente do tipo de criptografia que você escolher. Mesmo a autenticação mais simples evitará problemas bastante sérios no futuro.

Por que eu digo isso? Não é nem mesmo uma questão de que conectar muitos clientes errados irá desacelerar sua rede – isso é apenas o começo. A principal razão é que se a sua rede não estiver protegida por senha, um invasor pode se anexar a ela, que realizará ações ilegais no seu roteador, e então você terá que responder por suas ações, então leve a proteção wi-fi muito a sério .

Criptografia de dados WiFi e tipos de autenticação

Então, estamos convencidos da necessidade de criptografar a rede wifi, agora vamos ver quais tipos existem:

O que é proteção wi-fi WEP?

WEP(Wired Equivalent Privacy) é o primeiro padrão a surgir, mas sua confiabilidade não atende mais aos requisitos modernos. Todos os programas configurados para hackear a rede método wi-fi as pesquisas de caracteres visam principalmente a seleção de uma chave de criptografia WEP.

O que é uma chave ou senha WPA?

WPA(Wi-Fi Protected Access) é um padrão de autenticação mais moderno que permite proteger de forma confiável rede local e a Internet contra a penetração ilegal.

O que é WPA2-PSK - Pessoal ou Empresarial?

WPA2- uma versão melhorada do tipo anterior. Hackear o WPA2 é quase impossível, ele oferece o máximo grau de segurança, por isso em meus artigos sempre digo sem explicação que você precisa instalá-lo - agora você sabe por quê.

Os padrões de segurança WiFi WPA2 e WPA têm mais duas variedades:

• Pessoal, indicado como WPA/PSK ou WPA2/PSK. Este tipo é o mais utilizado e ideal para uso na maioria dos casos - tanto em casa quanto no escritório. No WPA2/PSK, definimos uma senha de pelo menos 8 caracteres, que fica armazenada na memória do dispositivo que conectamos ao roteador.
• Empreendimento- uma configuração mais complexa que requer que a função RADIUS esteja habilitada no roteador. Funciona de acordo com o princípio, ou seja, uma senha separada é atribuída para cada gadget conectado individualmente.

Tipos de criptografia WPA – TKIP ou AES?

Portanto, decidimos que WPA2/PSK (Pessoal) é a melhor escolha para segurança de rede, mas possui mais dois tipos de criptografia de dados para autenticação.

• TKIP- hoje é um tipo desatualizado, mas ainda é muito utilizado, já que muitos aparelhos há alguns anos suportam apenas ele. Não funciona com tecnologia WPA2/PSK e não suporta WiFi 802.11n.
• AES- o tipo de criptografia WiFi mais recente e confiável do momento.

Que tipo de criptografia devo escolher e instalar a chave WPA no meu roteador WiFi?

Resolvemos a teoria - vamos passar à prática. Como ninguém utiliza os padrões WiFi 802.11 “B” e “G”, que têm velocidade máxima de até 54 Mbit/s, hoje a norma é 802.11 “N” ou “AC”, que suporta velocidades de até 300 Mbit /s e superiores, então não faz sentido considerar a opção de usar a proteção WPA/PSK com o tipo de criptografia TKIP. Portanto, ao configurar uma rede sem fio, defina-a como padrão

WPA2/PSK-AES

Ou, como último recurso, especifique “Auto” como o tipo de criptografia para ainda permitir a conexão de dispositivos com um módulo WiFi desatualizado.

Neste caso, a chave WPA, ou simplesmente, a senha de conexão à rede, deve ter de 8 a 32 caracteres, incluindo letras minúsculas e maiúsculas do inglês, além de diversos caracteres especiais.

Segurança sem fio em seu roteador TP-Link

As capturas de tela acima mostram o painel de controle de um roteador TP-Link moderno em nova versão firmware. A configuração da criptografia de rede aqui está na seção " Configurações adicionais- Modo sem-fio.

Na antiga versão “verde”, as configurações de rede WiFi que nos interessam estão localizadas no “ Modo sem fio - Segurança". Se fizer tudo como na imagem, vai ficar ótimo!

Se você notou, também existe um item como “Período de atualização da chave do grupo WPA”. O fato é que para proporcionar maior proteção, chave digital WPA para criptografia de conexão muda dinamicamente. Aqui você define o valor em segundos após o qual a alteração ocorre. Recomendo não tocá-lo e deixá-lo no padrão - em modelos diferentes O intervalo de atualização é diferente.

Método de autenticação no roteador ASUS

Nos roteadores ASUS, todas as configurações de WiFi estão localizadas em uma página “Rede sem fio”

Proteção de rede via roteador Zyxel Keenetic

Da mesma forma para Zyxel Keenético— seção “Rede WiFi - Ponto de acesso”

Em roteadores Keenetic sem o prefixo “Zyxel”, o tipo de criptografia pode ser alterado no “ rede doméstica».

Configurando a segurança do roteador D-Link

No D-Link procuramos a seção “ WiFi - Segurança»

Bem, hoje entendemos os tipos de criptografia WiFi e termos como WEP, WPA, WPA2-PSK, TKIP e AES e aprendemos qual é o melhor para escolher. Leia também sobre outras opções de segurança de rede em um dos meus artigos anteriores, no qual falo sobre endereços MAC e IP e outros métodos de segurança.

Vídeo sobre como configurar o tipo de criptografia no roteador

Com a disseminação das redes sem fio, os protocolos de criptografia WPA e WPA2 tornaram-se conhecidos por quase todos os proprietários de dispositivos conectados ao Wi-Fi. Eles são indicados nas propriedades da conexão e atraem atenção mínima da maioria dos usuários que não são administradores de sistema. Basta saber que o WPA2 é uma evolução do WPA e, portanto, o WPA2 é mais novo e mais adequado para redes modernas.

Definição

WPAé um protocolo de criptografia projetado para proteger redes sem fio do padrão IEEE 802.11, desenvolvido pela Wi-Fi Alliance em 2003 como substituto do protocolo WEP desatualizado e inseguro.

WPA2- um protocolo de criptografia que é um desenvolvimento aprimorado do WPA, introduzido em 2004 pela Wi-Fi Alliance.

Comparação

Encontrar a diferença entre WPA e WPA2 não é relevante para a maioria dos usuários, uma vez que toda a proteção rede sem fio se resume a escolher uma senha de acesso mais ou menos complexa. Hoje a situação é tal que todos os dispositivos operando em Redes Wi-Fi, são necessários para suportar WPA2, portanto a escolha de WPA só pode ser determinada em situações não padronizadas. Por exemplo, SO anteriores ao Windows XP SP3 não suportam WPA2 sem aplicação de patches, portanto, máquinas e dispositivos gerenciados por tais sistemas requerem a atenção de um administrador de rede. Até mesmo alguns smartphones modernos pode não suportar o novo protocolo de criptografia, isso se aplica principalmente a gadgets asiáticos sem marca. Por outro lado, alguns Versões do Windows anteriores ao XP não suportam WPA2 no nível do objeto política de grupo, então neste caso eles exigem mais afinação conexões de rede.

A diferença técnica entre WPA e WPA2 é a tecnologia de criptografia, em particular, os protocolos utilizados. WPA usa o protocolo TKIP, WPA2 usa o protocolo AES. Na prática, isso significa que o WPA2 mais moderno oferece um maior grau de segurança de rede. Por exemplo, o protocolo TKIP permite criar uma chave de autenticação de até 128 bits, AES - até 256 bits.

Site de conclusões

1. WPA2 é uma melhoria em relação ao WPA.
2. WPA2 usa o protocolo AES, WPA usa o protocolo TKIP.
3. WPA2 é compatível com todos os dispositivos sem fio modernos.
4. WPA2 pode não ser compatível com sistemas operacionais mais antigos.
5. O WPA2 possui um nível de segurança mais alto que o WPA.

EM Ultimamente Muitas publicações “expositoras” surgiram sobre a invasão de algum novo protocolo ou tecnologia que compromete a segurança das redes sem fio. É realmente assim, do que você deve ter medo e como garantir que o acesso à sua rede seja o mais seguro possível? As palavras WEP, WPA, 802.1x, EAP, PKI significam pouco para você? Esta breve visão geral ajudará a reunir todas as tecnologias atuais de criptografia e autorização de acesso por rádio. Tentarei mostrar que uma rede sem fio configurada corretamente representa uma barreira intransponível para um invasor (até certo limite, é claro).

Fundamentos

Qualquer interação entre um ponto de acesso (rede) e um cliente sem fio é baseada em:

• Autenticação- como o cliente e o ponto de acesso se apresentam e confirmam que têm o direito de comunicar entre si;
• Criptografia- qual algoritmo de codificação dos dados transmitidos é usado, como a chave de criptografia é gerada e quando ela é alterada.

Os parâmetros de uma rede sem fio, principalmente seu nome (SSID), são regularmente anunciados pelo ponto de acesso em pacotes de beacon de transmissão. Além das configurações de segurança esperadas, são transmitidas solicitações de QoS, parâmetros 802.11n, velocidades suportadas, informações sobre outros vizinhos, etc. A autenticação determina como o cliente se apresenta ao ponto. Opções possíveis:

• Abrir- assim chamado rede aberta, em que todos os dispositivos conectados são autorizados de uma só vez
• Compartilhado- a autenticidade do dispositivo conectado deve ser verificada com uma chave/senha
• PAE- a autenticidade do dispositivo conectado deve ser verificada usando o protocolo EAP por um servidor externo

A abertura da rede não significa que alguém possa trabalhar com ela impunemente. Para transmitir dados em tal rede, o algoritmo de criptografia utilizado deve corresponder e, consequentemente, a conexão criptografada deve ser estabelecida corretamente. Os algoritmos de criptografia são:

• Nenhum- sem criptografia, os dados são transmitidos em texto não criptografado
• WEP- cifra baseada no algoritmo RC4 com diferentes comprimentos de chave estática ou dinâmica (64 ou 128 bits)
• CKIP- substituição proprietária do WEP da Cisco, versão inicial do TKIP
• TKIP- Substituição WEP aprimorada com verificações e proteção adicionais
• AES/CCMP- o algoritmo mais avançado baseado em AES256 com verificações e proteção adicionais

Combinação Autenticação aberta, sem criptografia amplamente utilizado em sistemas de acesso de hóspedes, como o fornecimento de Internet em um café ou hotel. Para se conectar, você só precisa saber o nome da rede sem fio. Freqüentemente, essa conexão é combinada com verificação adicional no Portal Cativo, redirecionando a solicitação HTTP do usuário para página adicional, onde você pode solicitar confirmação (login-senha, concordância com as regras, etc.).

Criptografia WEP está comprometido e não pode ser usado (mesmo no caso de chaves dinâmicas).

Termos de ocorrência comum WPA E WPA2 determinar, de fato, o algoritmo de criptografia (TKIP ou AES). Devido ao fato de os adaptadores clientes suportarem WPA2 (AES) há algum tempo, não faz sentido usar a criptografia TKIP.

Diferença entre WPA2 Pessoal E WPA2 Empresarialé de onde vêm as chaves de criptografia usadas na mecânica do algoritmo AES. Para aplicações privadas (domésticas, pequenas), é utilizada uma chave estática (senha, palavra de código, PSK (chave pré-compartilhada)) com comprimento mínimo de 8 caracteres, que é definida nas configurações do ponto de acesso e é a mesma para todos os clientes de uma determinada rede sem fio. O comprometimento de tal chave (eles contaram tudo para um vizinho, um funcionário foi demitido, um laptop foi roubado) exige uma mudança imediata de senha para todos os usuários restantes, o que só é realista se houver um pequeno número deles. Para aplicações corporativas, como o nome sugere, é utilizada uma chave dinâmica, individual para cada cliente em execução no momento. Esta chave pode ser atualizada periodicamente durante a operação sem interromper a conexão, e um componente adicional é responsável por sua geração - o servidor de autorização, e quase sempre este é um servidor RADIUS.

Todos os parâmetros de segurança possíveis estão resumidos nesta placa:

Propriedade	WEP estático	WEP dinâmico	WPA	WPA 2 (empresarial)
Identificação	Usuário, computador, placa WLAN	Usuário, computador	Usuário, computador	Usuário, computador
Autorização	Chave compartilhada	PAE	EAP ou chave compartilhada	EAP ou chave compartilhada
Integridade	Valor de verificação de integridade de 32 bits (ICV)	ICV de 32 bits	Código de integridade de mensagem (MIC) de 64 bits	CRT/CBC-MAC (Código de autenticação de encadeamento de bloco de criptografia em modo contador - CCM) Parte do AES
Criptografia	Chave estática	Chave de sessão	Chave por pacote via TKIP	CCMP (AES)
Distribuição de chaves	Único, manual	Segmento de chave mestra em pares (PMK)	Derivado de PMK	Derivado de PMK
Vetor de inicialização	Texto, 24 bits	Texto, 24 bits	Vetor avançado, 65 bits	Número de pacote de 48 bits (PN)
Algoritmo	RC4	RC4	RC4	AES
Comprimento da chave, bits	64/128	64/128	128	até 256
Infraestrutura necessária	Não	RAIO	RAIO	RAIO

Embora o WPA2 Personal (WPA2 PSK) seja claro, uma solução empresarial requer mais considerações.

WPA2 Empresarial

Aqui estamos lidando com conjunto adicional vários protocolos. Do lado do cliente existe um componente especial Programas O suplicante (geralmente parte do sistema operacional) interage com a parte autorizadora, o servidor AAA. EM neste exemplo exibe a operação de uma rede de rádio unificada construída em pontos de acesso leves e um controlador. No caso de utilização de pontos de acesso com “cérebros”, todo o papel de intermediário entre clientes e servidor pode ser assumido pelo próprio ponto. Nesse caso, os dados do cliente suplicante são transmitidos pelo rádio formado no protocolo 802.1x (EAPOL), e no lado do controlador são envoltos em pacotes RADIUS.

O uso do mecanismo de autorização EAP em sua rede leva ao fato de que após a autenticação bem-sucedida (quase certamente aberta) do cliente pelo ponto de acesso (junto com o controlador, se houver), este último solicita ao cliente que autorize (confirme sua autoridade) com o servidor RADIUS de infraestrutura:

Uso WPA2 Empresarial requer um servidor RADIUS na sua rede. No momento, os produtos mais eficientes são os seguintes:

• Microsoft Network Policy Server (NPS), antigo IAS- configurado via MMC, gratuito, mas você precisa comprar o Windows
• Servidor de controle de acesso seguro Cisco (ACS) 4.2, 5.3- configurado através de uma interface web, sofisticada em funcionalidade, permite criar sistemas distribuídos e tolerantes a falhas, caros
• FreeRADIUS- gratuito, configurado usando configurações de texto, não é conveniente para gerenciar e monitorar

Neste caso, o responsável pelo tratamento monitoriza cuidadosamente a troca contínua de informações e aguarda a autorização ou recusa bem-sucedida da mesma. Se for bem-sucedido, o servidor RADIUS será capaz de transferir parâmetros adicionais para o ponto de acesso (por exemplo, em qual VLAN colocar o assinante, qual endereço IP atribuir, perfil de QoS, etc.). Ao final da troca, o servidor RADIUS permite que o cliente e o ponto de acesso gerem e troquem chaves de criptografia (individuais, válidas apenas para esta sessão):

PAE

O próprio protocolo EAP é baseado em contêiner, o que significa que o mecanismo de autorização real é deixado para protocolos internos. No momento, os seguintes receberam alguma distribuição significativa:

• EAP-FAST(Autenticação Flexível via Túnel Seguro) - desenvolvido pela Cisco; permite autorização usando login e senha transmitidos dentro do túnel TLS entre o suplicante e o servidor RADIUS
• EAP-TLS(Segurança da Camada de Transporte). Usa infraestrutura chaves públicas(PKI) para autorizar o cliente e o servidor (requerente e servidor RADIUS) através de certificados emitidos por uma autoridade de certificação (CA) confiável. Requer a emissão e instalação de certificados de cliente para cada dispositivo wireless, portanto, é adequado apenas para ambientes corporativos gerenciados. O Windows Certificate Server possui recursos que permitem ao cliente gerar seu próprio certificado se o cliente for membro de um domínio. O bloqueio de um cliente pode ser feito facilmente revogando seu certificado (ou por meio de contas).
• EAP-TTLS(Tunneled Transport Layer Security) é semelhante ao EAP-TLS, mas não requer um certificado de cliente ao criar um túnel. Nesse túnel, semelhante a uma conexão SSL de navegador, é realizada autorização adicional (usando uma senha ou outra coisa).
• PEAP-MSCHAPv2(EAP protegido) - semelhante ao EAP-TTLS em termos de estabelecimento inicial de um túnel TLS criptografado entre o cliente e o servidor, exigindo um certificado de servidor. Posteriormente, tal túnel é autorizado usando o conhecido protocolo MSCHAPv2.
• PEAP-GTC(Cartão Token Genérico) - semelhante ao anterior, mas requer cartões de senha de uso único (e a infraestrutura correspondente)

Todos esses métodos (exceto EAP-FAST) exigem um certificado de servidor (no servidor RADIUS) emitido por uma autoridade de certificação (CA). Nesse caso, o próprio certificado CA deve estar presente no dispositivo do cliente no grupo confiável (o que é fácil de implementar usando a Política de Grupo no Windows). Além disso, o EAP-TLS exige um certificado de cliente individual. A autenticação do cliente é realizada da seguinte forma: assinatura digital, portanto (opcional) comparando o certificado fornecido pelo cliente ao servidor RADIUS com o que o servidor recuperou da infraestrutura PKI (Active Directory).

O suporte para qualquer um dos métodos EAP deve ser fornecido por um suplicante do lado do cliente. O padrão integrado do Windows XP/Vista/7, iOS, Android fornece pelo menos EAP-TLS e EAP-MSCHAPv2, o que torna esses métodos populares. Os adaptadores clientes Intel para Windows vêm com o utilitário ProSet, que expande a lista disponível. O cliente Cisco AnyConnect faz o mesmo.

Quão confiável é isso?

Afinal, o que é necessário para um invasor invadir sua rede?

Para autenticação aberta, sem criptografia - nada. Conectado à rede e pronto. Como o meio de rádio está aberto, o sinal viaja em diferentes direções, não é fácil bloqueá-lo. Se você tiver os adaptadores clientes apropriados que permitem ouvir o ar, o tráfego de rede será visível da mesma forma como se o invasor tivesse se conectado ao fio, ao hub, à porta SPAN do switch.
A criptografia baseada em WEP requer apenas tempo IV e um dos muitos utilitários de varredura disponíveis gratuitamente.
Para criptografia baseada em TKIP ou AES, a descriptografia direta é possível em teoria, mas na prática não houve casos de hacking.

Claro, você pode tentar adivinhar a chave PSK ou a senha de um dos métodos EAP. Não há ataques comuns conhecidos contra esses métodos. Você pode tentar usar métodos de engenharia social ou