terça-feira, 13 de janeiro de 2015

Segurança Wi-Fi: WPA2-AES, WPA2-TKIP ou ambos?

Em muitos routers do mercado, os protocolos de segurança WPA2-PSK (TKIP), WPA2-PSK (AES) e WPA2-PSK (TKIP+AES) são opções diferentes. A escolha duma opção errada tem como resultado uma rede mais lenta e menos segura.

A última opção – TKIP+AES – costuma estar configurada por defeito na generalidade dos modelos. Na realidade é uma má escolha, mas para compreender cada uma das opções requer algum conhecimento de padrões de criptografia Wi-Fi.

AES vs. TKIP

TKIP e AES são dois tipos diferentes de encriptação que podem ser usados numa rede Wi-Fi.

TKIP significa "Temporal Key Integrity Protocol." Foi um protocolo de criptografia introduzido com o WPA para substituir a criptografia WEP, muito insegura na altura. O TKIP é realmente muito semelhante à criptografia WEP e já não é considerado seguro - está obsoleto. Por outras palavras, não deve usá-lo!

AES significa "Advanced Encryption Standard". Este foi um protocolo de criptografia mais seguro, introduzido com o WPA2, que substituiu o padrão “interino” WPA. O AES não é um padrão desenvolvido especificamente para redes Wi-Fi, é sim um padrão efectivo de criptografia em todo o mundo, que já foi, inclusivamente, adoptado pelo governo dos EUA. Por exemplo, se encriptar um disco rígido com TrueCrypt, pode usar a criptografia AES. O AES é geralmente considerado muito seguro e os principais pontos fracos seriam ataques de força bruta (impedidos pela utilização de uma senha forte) e falhas de segurança em outros aspectos do WPA2.

Ambos os casos usam uma PSK, que significa "Pre Shared Key" - a chave pré-compartilhada – que é geralmente a senha de criptografia. Distingue-se da WPA-Enterprise, que usa um servidor RADIUS para distribuir chaves únicas em grandes redes Wi-Fi corporativas ou governamentais.

WPA usa TKIP e WPA2 usa AES, mas …

Em resumo, o TKIP é um padrão de criptografia mais antigo, utilizado pelo velho padrão WPA. O AES é uma solução mais recente de criptografia Wi-Fi, usado pelo novo-e-seguro padrão WPA2. Em teoria, isto parece suficiente, mas, dependendo do seu router, escolher simplesmente WPA2 pode não ser suficiente.

Enquanto o WPA2 é suposto usar AES para segurança ideal, também tem a opção de usar TKIP para compatibilidade com dispositivos antigos. Com esta configuração, os dispositivos que suportam WPA2 são conectados com WPA2 e os que não suportam, são conectados com WPA. Assim, "WPA2" nem sempre significa WPA2-AES. No entanto, em dispositivos sem uma opção "TKIP ou AES" visível, WPA2 é geralmente sinónimo de WPA2-AES.

Modos de segurança Wi-Fi explicados

Ainda confuso? Não é surpreendente. Mas tudo o que realmente precisa fazer é procurar a opção mais segura na lista do seu router. Por exemplo, aqui estão algumas opções possíveis numa variedade de routers:

  • Open: redes Wi-Fi abertas não têm qualquer senha de segurança. Muito seriamente, nunca deve configurar uma rede Wi-Fi aberta. Por causa disso, pode até vir a ter graves problemas legais (imagine que alguém usa a sua rede aberta para fazer download de pornografia infantil);
  • WEP 64 ou WEP 128: o velho padrão de criptografia WEP é vulnerável e não deve ser utilizado. O seu nome, que significa "Wired Equivalent Privacy", hoje em dia, parece uma piada;
  • WPA-PSK (TKIP): este é basicamente o padrão WPA1. Não é seguro e foi substituído;
  • WPA-PSK (AES): esta opção escolhe o protocolo wi-fi WPA (mais antigo) com criptografia AES (mais moderno). Dispositivos que suportam AES quase sempre suportam WPA2, enquanto os dispositivos que exigem WPA1 quase nunca suportam criptografia AES. Esta opção faz muito pouco sentido;
  • WPA2-PSK (TKIP): esta usa o padrão WPA2 (moderno) com criptografia TKIP (antiga). Não é uma opção segura e apenas pode ser levada em conta se tiver dispositivos mais antigos que não se podem conectar a uma rede WPA2-PSK (AES);
  • WPA2-PSK (AES): esta é a opção mais segura. Usa WPA2, o mais recente padrão de criptografia Wi-Fi, e AES, o mais recente protocolo de criptografia. Deve usar esta opção. Em dispositivos com interfaces menos confusos, a opção "WPA2" ou "WPA2-PSK", provavelmente, só usam AES, já que é uma escolha de bom senso;
  • WPA/WPA2-PSK (TKIP/AES): muitos routers recomendam esta opção, que permite tanto WPA como WPA2, com TKIP ou AES. Isto proporciona o máximo de compatibilidade com todos os dispositivos antigos que possa ter, mas também garante que alguém pode violar a sua rede, simplesmente por quebrar o esquema de criptografia de menor denominador comum (WPA/TKIP). Esta opção AES+TKIP também pode ser identificada como “WPA2-PSK mixed mode”.

Dispositivos fabricados desde 2006 têm suporte AES

A certificação WPA2 ficou disponível em 2004 (há dez anos atrás). Em 2006, a certificação WPA2 tornou-se obrigatória. Qualquer dispositivo fabricado após 2006, com o logotipo "Wi-Fi", deve suportar encriptação WPA2. Isto não é de agora, já é assim há mais de oito anos!

Os seu dispositivos habilitados para wi-fi são, provavelmente, mais novos do que 8-10 anos, então não deve ter problemas em escolher apenas WPA2-PSK (AES). Selecione esta opção e, de seguida, pode verificar se alguma coisa não funciona. Se algum dispositivo deixar de conectar, pode sempre alterar a opção de segurança novamente – embora deva preferir comprar um novo dispositivo, fabricado em qualquer altura, nos últimos oito anos. Winking smile

WPA+TKIP vão tornar a sua rede mais lenta

As opções de compatibilidade WPA e TKIP também podem tornar a sua rede Wi-Fi mais lenta. Muitos routers Wi-Fi modernos, que suportam a norma 802.11n e mais recentes, vão abrandar para 54mbps se ativar WPA ou TKIP nas suas opções. Estes routers fazem isso para garantir que são compatíveis com os dispositivos mais antigos.

Por comparação, a 802.11n suporta até 300Mbps - mas, em geral, só se estiver a usar WPA2 com AES. A 802.11ac oferece velocidades máximas teóricas de 3.46 Gbps sob óptimas (leia-se: perfeitas) condições.

Por outras palavras, WPA1 e/ou TKIP vão tornar uma rede Wi-Fi moderna mais lenta. New tudo está relacionado com a segurança!

 

Na maioria dos routers que já vimos, as opções são geralmente WEP, WPA (TKIP) e WPA2 (AES) - talvez com um modo de compatibilidade WPA (TKIP) + WPA2 (AES) incluído.

Se tiver um router que ofereça WPA2 com TKIP ou AES, escolha AES. Certamente que quase todos os seus dispositivos vão conseguir trabalhar com ele, é mais rápido e mais seguro. É uma escolha fácil, basta lembrar-se que o AES é o melhor. Smile

 

Tradução livre do artigo "Wi-Fi Security: Should You Use WPA2-AES, WPA2-TKIP, or Both?", de Chris Hoffman para a How-To-Geek.

1 comentário: