无线安全 Wi-Fi 身份验证模式

在本章中，我们将简要介绍无线部署中可能使用的身份验证方案。它们是： 开放式身份验证和基于预共享密钥 (PSK) 的身份验证。前一种是基于 EAP 帧来导出动态密钥。

开放认证

开放身份验证这个词本身就具有误导性。它表明，某种身份验证已经到位，但实际上，该方案中的身份验证过程更像是正式步骤，而不是身份验证机制。该过程如下图所示 –

用简单的英语，这个交换说的是，在身份验证请求中，无线客户端（请求方）说“嗨，AP，我想进行身份验证”，而来自 AP 的身份验证响应是“好的，你去吧”。您在此设置中看到任何类型的安全性吗？我也不…

这就是为什么永远不应该使用开放式身份验证，因为它只是允许任何客户端对网络进行身份验证，而无需进行正确的安全检查。

基于 EAP 的 4 次握手（使用 WPA/WPA2）

当无线客户端向 AP 进行身份验证时，它们都会经历称为4 次握手的 4 步身份验证过程。在这些消息交换期间，共享密码是在 AP 和无线客户端之间派生的，不会在任何这些 EAP 消息中传输。

Pairwise Master Key (PMK) 是黑客想要收集的东西，以破解网络加密方案。PMK 只有请求者和验证者知道，但不会在传输中的任何地方共享。

然而，会话密钥是，它们是 ANonce、SNonce、PMK、请求方和认证方的 MAC 地址的组合。我们可以将这种关系写成数学公式 –

Sessions_keys = f(ANonce, SNonce, PMK, A_MAC, S_MAC)。

为了从该等式推导出 PMK，必须打破 AES/RC4（取决于使用的是 WPA2 还是 WPA）。这并不容易，因为唯一实用的方法是执行蛮力或字典攻击（假设您有一本非常好的字典）。

这绝对是一种推荐使用的身份验证方法，并且绝对比使用开放身份验证更安全。

Wi-Fi 粉笔

Wi-Fi chalking 在无线局域网历史上是一个非常有趣的概念，主要用于美国。主要想法是标记实施开放式身份验证或弱身份验证的 WLAN 的位置。通过这样做，每个人只要在墙上或地上的某个地方发现了用粉笔写下的这个标志，就可以在不进行身份验证的情况下登录 Wi-Fi 系统。聪明，对吧？

您可能会问自己 – 为什么用粉笔而不是某种标记、喷雾或其他更持久的标记方式？答案很简单，来自刑法——用粉笔书写不被视为破坏行为。