Почему WPA2-PSK не защищает ваш Wi-Fi так, как вы думаете

Почему WPA2-PSK не защищает ваш Wi-Fi так, как вы думаете

Сегодня сложная статья. Читать на свежую голову!

WPA2-PSK (Pre-Shared Key) — самый массовый стандарт защиты Wi-Fi. PSK = общий пароль, который знают все. Домашние сети, офисы, отели — он везде. 60-70% всех WiFi-сетей используют именно его. Большинство считают, что этой защиты достаточно.

🔓 В чём ключевая проблема

Казалось бы, WPA2 шифрует трафик. Но если атакующий знает пароль Wi-Fi (а в PSK он один на всех) и перехватил сигнал в момент подключения клиента (handshake), то он получает возможность расшифровывать трафик этого клиента.

Без «взлома». Без эксплойтов. Потому что так создали протокол.

⚙️ Что происходит технически

При подключении любого устройства к Wi-Fi происходит handshake: обмен начальными данными, чтобы на основе пароля и случайных параметров создать ключи шифрования.

Если атакующий:

✓ Знает пароль (в публичных сетях — это тривиально)

✓ Перехватил handshake

То он может расшифровать весь трафик этого Wi-Fi клиента. Например, вашего ноутбука.

Особенно актуально для:

🔹Публичных Wi-Fi (кафе, аэропорты)

🔹Офисов с общим PSK - он есть у уволенных сотрудников

🔹Конференций и коворкингов

⚠️ Что именно видно

🔹DNS-запросы (какие сайты вы посещаете)

🔹IP-адреса соединений

🔹Метаданные (когда с кем и сколько)

🔹Незащищённые протоколы, например, HTTP или FTP

Для профилирования, фишинга и таргетированных атак — более чем достаточно.

⚠️ А что НЕ видно

На самом деле ваши приложения дополнительно шифруют соединения сами, поэтому НЕ видно:

🔹Содержимое HTTPS-подключений, например, это могут быть пароли от веб-почты.

🔹Содержимое VPN туннелей, если вы их используете.

🔹Зашифрованный трафик мессенджеров

🎯Три системные слабости WPA2-PSK

1. Один пароль на всех

Ушёл сотрудник — пароль остался. Надо поменять пароль и переподключить все устройства.

2. Offline-брутфорс

После записи Handshake в файл его можно брутфорсить без ограничений по времени, отключившись от сети

3. Нулевая видимость

Владелец не видит факт перехвата. Никаких логов.

🛡 А WPA3 решает проблему?

Частично. WPA3 (SAE) защищает от offline-брутфорса, но:

🔹Часто включён Transition Mode (WPA2+WPA3 одновременно)

🔹Старые устройства используют WPA2

🔹Админы не понимают, что «галочка WPA3» ≠ реальная защита

Если хоть одно устройство использует WPA2 — вся защита падает до WPA2

Что делать

✅ Взрослый пароль из 16+ случайных символов. Не имена и не даты.

✅ Не используйте один Wi‑Fi для всего: разделите сети физически или логически, чтобы гости, сотрудники, умные устройства и видеокамеры были в разных сетях

✅ WPA3 включайте без WPA2 (без Transition Mode)

✅ В публичном Wi‑Fi всегда включайте VPN. В кафе, отелях и аэропортах — это обязательно.

✅ WPA2-Enterprise вместо PSK — индивидуальные логины/пароли через RADIUS

💬 Главный вывод

WPA2-PSK — не «плох» и не «сломан». Это устаревшая модель доверия, где пароль = пропуск к сети.

Проблема не в Wi-Fi.

Проблема в том, что большинство думают: «пароль = безопасность».

#WiFi #WPA2 #WPA3 #сети #пентест #экспертам @acba