Những thay đổi đáng kể nhất của WPA2 so với người tiền nhiệm của nó là sử dụng một thành phần mới thay thế cho TKIP là có tên CCMP; đồng WPA2 yêu cầu phải sử dụng thuật toán AES. TKIP là giao thức khóa toàn vẹn thời gian [Temporal Key Integrity Protocol – TKIP]. TKIP sử dụng hệ thống kí tự cho từng gói, an toàn hơn rất nhiều so với kí tự tĩnh của WEP. Sau này, TKIP bị thay thế bởi Advanced Encryption Standard [AES].
Có thể nói rằng chuẩn WPA2 mới nhất này đã tăng khả năng bảo mật của router Wi-Fi lên cao nhất từ trước tới nay mặc dù nó vẫn còn một số lỗ hổng hơi khó hiểu. Tuy nhiên bạn có thể hình dung về lỗ hổng này là nó yêu cầu hacker phải có quyền truy cập được vào mạng Wi-Fi trước sau đó chúng mới có thể tiến hành hack được vào các client khác trong cùng mạng. Bởi thế, WPA2 có thể coi là chuẩn an toàn cho mạng Wi-Fi gia đình và với lỗ hổng trên, hacker chỉ có thể thâm nhập được vào mạng Wi-Fi của các doanh nghiệp [với rất nhiều thiết bị kết nối] mà thôi.
Tuy nhiên, cách đây chỉ vài tiếng đồng hồ, các nhà nghiên cứu bảo mật đã tìm ra một lỗ hổng cực kì nghiêm trọng: giao thức bảo mật WPA2, thứ bảo vệ mọi mạng lưới Wi-Fi có thể bị xâm nhập. Kẻ xấu có thể lợi dụng khe hở này để đánh cắp bất kì thông tin nào được truyền qua lại giữa thiết bị [điện thoại, máy tính, …] và điểm truy cập Wi-Fi.
Kẻ xấu chỉ cần nằm trong phạm vi phủ sóng của thiết bị là đã có thể sử dụng cách thức tấn công cài đặt lại mã khóa – Key Reinstallation Attack [KRACK], xâm nhập vào kết nối giữa thiết bị và điểm phát sóng. Cách thức này cho phép kẻ tấn công có thể đọc được bất kì thông tin nào được cho là đã được mã hóa một cách an toàn.
Hiện tại, cách tốt nhất là cập nhật thiết bị của mình, chứ không phải chỉ cập nhật modem/bộ phát tín hiệu mạng.
Mỗi khi anh em mua router Wifi mới thì phần quan trọng nhất chắc chắn là đặt tên và đặt password. Bên cạnh đó, nhiều bộ router sẽ bắt chúng ta chọn tiêu chuẩn bảo mật giao thức [security protocol] như WEP, WPA hoặc WPA2 đa phần anh em sẽ không biết nên chọn loại nào là tốt. Trong bài viết này mình sẽ giải thích về các chuẩn bảo mật giao thức này và loại nào khó bị “hack pass” nhất.
Bạn đang xem: Bảo mật wpa wpa2 psk là gì
Wired Equivalent Privacy [WEP]
Chuẩn WEP là chuẩn bảo mật giao thức được sử dụng nhiều nhất và cũng là chuẩn lâu đời nhất. Lý do có lẽ là vì người ta thường để chuẩn WEP ở ngay đầu danh sách lựa chọn của các loại router nên nhiều người không biết thì sẽ chọn luôn cho nhanh.
Tiêu chuẩn WEP được chứng nhận là một tiêu chuẩn bảo mật dành cho Wifi vào tháng 9/1999. Các phiên bản đầu tiên của WEP không mạnh mẽ cho lắm vì ngày trước chính phủ Mỹ khá là “khó tính”, hạn chế lưu truyền công nghệ mật mã quan trọng ra bên ngoài nên các hãng chỉ áp dụng phương pháp mã hóa 64 bit mà thôi. Sau này, lệnh hạn chế được nói lỏng thì chuẩn WEP phổ thông được nâng cấp lên 128 bit. Và dù thực tế thì đã có WEP 256 bit nhưng vẫn người ta vẫn không áp dụng.
Dù đã có nâng cấp phương pháp bảo mật và được cải tiến, sửa đổi khá nhiều nhưng chuẩn WEP vẫn chứa khá nhiều lỗ hổng bảo mật. Ngoài ra, vì WEP ra mắt từ năm 1999 cũng không đủ mạnh để chống công nghệ, máy tính ngày ngày nay. Ngay từ năm 2001, có nhiều bằng chứng trên mạng cho thấy chuẩn WEP rất dễ bị hack. Đến năm 2005 thì Cục Điều tra Liên Bang Mỹ [FBI] đã trình diễn một màn bẻ khóa mật khẩu dùng tiêu chuẩn WEP bằng một phần mềm miễn phí chỉ trong vài phút.
Sau đó, có nhiều nỗ lực nâng cấp, cải tiến để giúp WEP sống lâu hơn một chút nhưng nó vẫn rất là cùi anh em ạ. Cuối cùng thì Wi-Fi Alliance, tổ chức phi lợi nhuận chứng nhận các tiêu chuẩn về Wifi đã cho WEP về vườn vào năm 2004.
Wi-Fi Protected Access [WPA]
Vào năm 2003, trước lúc WEP về hưu thì Wi-Fi Alliance tạo ra tiêu chuẩn WPA với mục đích thay thế và cải thiện các điểm yếu và lỗ hổng bảo mật của tiêu chuẩn WEP. Sức mạnh bảo mật của WPA đến từ tính năng WPA-PSK [Pre-Shared Key] và phương mã hóa 256 bit, tăng đáng kể so với 64bit và 128bit của chuẩn WEP. Giải thích mã hóa 256 bit, 128 bit là gì thì sẽ rất dài, anh em chỉ cần biết số biết càng cao là càng khó hack nhé.
Xem thêm: Hướng Dẫn Cách Rút Tiền Atm ; Lưu Ý Khi Mở Tài Khoản Ngân Hàng
Một số thay đổi quan trọng khác của WPA bao gồm tính năng kiểm tra độ nguyên vẹn của dữ liệu để xác định xem hacker có bắt hoặc thay đổi gói dữ liệu [packet] trong lúc nó di chuyển giữa giữa bộ phát wifi và tiêu chuẩn mã hóa Temporal Key Integrity Protocol [TKIP] giúp mã hóa từng gói dữ liệu được gửi đi nên chuẩn WPA có độ bảo mật tốt hơn WEP. Sau này, TKIP được thay bằng tiêu chuẩn mã hóa AES [Advanced Encryption Standard] xịn hơn nhiều.
Mặc dù WPA đã có những cải tiến so với WEP nhưng nó vẫn còn dính một số tàn dư từ lúc trước. TKIP dù là một khía cạnh quan trọng của WPA nhưng nó được thiết kế để có thể cài vào thiết bị WEP trước đây bằng cách update firmware. Nhưng mà vì toàn bộ hệ thống từ phần cứng đến phần mềm của WEP đã dễ bị hack từ trước nên rốt cục thì WPA vẫn bị hack. Tiêu chuẩn WAP cũng bị nhiều bên đưa ra bằng chứng là có thể bị hack và còn bị công khai kết quả. Tuy nhiên, có một điều kỳ lạ là người ta không thực sự hack thành công giao thức WPA đâu mà người ta nhắm vào tính năng WPS [Wi-Fi Protected Setup] thường xuất hiện trên các loại thiết bị mạng hiện nay giúp các loại thiết bị kết nối với bộ phát wifi dễ dàng mà không cần nhập username hay password.
Wi-Fi Protected Access II [WPA2]
Tiêu chuẩn WPA2 thay thế cho chuẩn WPA từ năm 2006 và thay đổi quan trọng nhất là nó sử dụng tiêu chuẩn mã hóa AES và sử dụng CCMP để thay thế cho TKIP. Tuy nhiên, TKIP vẫn còn tồn tại trong WPA2 dưới dạng dự phòng và giúp nâng cao khả năng tương thích ngược với các thiết bị WPA.
Hiện tại thì lỗ hổng bảo mật chính của WPA2 là một mỗi khá là độc lạ: nếu muốn hack thì hacker phải có quyền truy cập hệ thống mạng rồi mới bắt đầu tấn công các thiết bị khác. Kiểu như muốn ăn trộm nhưng cửa khóa chắc quá nên phải tìm được chìa khóa thì mới vào nhà được vậy anh em ạ. Vì vậy, có thể nói WPA2 là tiêu chuẩn bảo mật tốt nhất hiện hay rồi.
Tuy nhiên, nó vẫn còn một điểm yếu là tính năng WPS từ thời WPA nha anh em. Dù hack bằng cách sử dụng lỗ hổng WPS có thể tốn từ 2 đến 14 tiếng và phải dùng dàn máy đủ mạnh để bẻ khóa nhưng dù sao đây cũng là một lỗ hổng khá lớn.
Vậy nên chọn tiêu chuẩn bảo mật nào?
Nói chung thì tiêu chuẩn nào cũng sẽ có cách để vượt rào chỉ là hacker có đủ trình độ và kiên nhẫn ngồi hack mạng Wifi hay không thôi. Nhưng dù sao anh em cũng nên ưu tiên chọn theo danh sách dưới đây để có độ bảo mật từ mạnh nhất đến yếu nhất bên dưới nhé:
WPA2 + AESWPA + AESWPA + TKIP/AESWPA + TKIPWEPOpen Network [thả cửa cho trộm vào]
Ngoài ra, anh em cũng nên tắt tính năng WPS nếu không sử dụng tính năng này. Nếu anh em đang chọn WEP thì nên đổi lại ngay đi nhé, dùng tiêu chuẩn này thì giống như anh em đóng cửa nhưng khóa trái vậy.
Chúng ta đã biết bảo mật WEP rất dễ bị crack, công nghệ bảo mật này chỉ bảo vệ được mạng không dây của bạn trước những người dùng thông thường. Còn ngoài ra, đối với các hacker, kể cả các hacker mới vào nghề cũng có thể download các công cụ miễn phí và thực hiện theo một hướng dẫn nào đó để crack khóa WEP của bạn. Sau khi phá được khóa, hacker có thể kết nối đến mạng Wi-Fi và truy nhập vào các tài nguyên chia sẻ chung trên mạng của bạn. Ngoài ra các hacker còn có thể giải mã lưu lượng thời gian thực trên mạng.
Chính vì lý do đó mà chúng ta cần sử dụng một công nghệ an toàn nhất để bảo vệ cho mạng không dây của mình: hiện tại đó chính là Wi-Fi Protected Access 2 [WPA2], đây là công nghệ sử dụng mã hóa AES/CCMP. Có hai dạng thức của công nghệ WPA và WPA2: Personal hoặc Pre-shared Key [PSK] cho người dùng gia đình và Enterprise cho doanh nghiệp.
Chế độ Personal rất dễ trong cài đặt và sử dụng. Bạn có thể tạo một khóa mã hóa [giống như một mật khẩu] trên router không dây hoặc điểm truy cập. Sau đó nhập vào khóa này trên các máy tính và các thiết bị để kết nối với mạng Wi-Fi.
Chế độ Enterprise phức tạp hơn nhiều và yêu cầu một máy chủ ngoài, máy chủ này được gọi là RADIUS server, để kích hoạt nhận thực 802.1X. Tuy nhiên chế độ này thích hợp với việc sử dụng trong các doanh nghiệp. Bạn có thể tạo các username và password cho người dùng để sử dụng khi kết nối. Các khóa mã hóa thực không được lưu trên máy tính và thiết bị do đó sẽ bảo vệ cho mạng của bạn tốt hơn nếu chúng có bị mất hoặc bị đánh cắp.
Khi sử dụng chế độ Enterprise, bạn có thể thu hồi sự truy cập của người dùng khi họ không làm tại công ty của bạn nữa. Nếu sử dụng chế độ Personal, bạn sẽ phải thay đổi khóa mã hóa [trên tất cả các điểm truy cập và tất cả máy tính] mỗi khi một máy hoặc một thiết bị bị mất hay bị đánh cắp và khi có nhân viên nào đó rời công ty.
Kiểm tra các phương pháp bảo mật hiện hành
Nếu bạn không chắc chắn về phương pháp bảo mật mà mình đang sử dụng, hãy kiểm tra nhanh trong Windows bằng cách vào danh sách các mạng không dây có sẵn.
Trong Windows XP [tối thiểu ở đây là Service Pack 2], các mạng sử dụng một số kiểu bảo mật này sẽ có thông báo được bảo mật. Nếu đang sử dụng WPA hoặc WPA2, thông báo sẽ được hiển thị trong dấu ngoặc đơn, còn lại sẽ là trường hợp sử dụng WEP. Trong Windows Vista và Windows 7, bạn chỉ cần di chuột qua mạng nằm trong danh sách là có thể xem được các thông tin chi tiết, các thông tin này gồm có kiểu bảo mật.
Thẩm định tương thích WPA2
Hầu hết các sản phẩm Wi-Fi được sản xuất từ sau năm 2005 đều hỗ trợ WPA2. Nếu có một router không dây, các điểm truy cập, máy tính hay các thiết bị Wi-Fi khác được sản xuất trước 2005, bạn cần kiểm tra xem thiết bị của mình có hỗ trợ WPA2 hay không.
Để kiểm tra xem router không dây hoặc điểm truy cập có hỗ trợ WPA2 hay không, bạn hãy nhập địa chỉ IP của nó vào trình duyệt web, đăng nhập vào panel điều khiển và kiểm tra các thiết lập không dây.
Lưu ý: Nếu không biết địa chỉ IP của router là gì, hãy triệu gọi hộp thoại Wireless Network Connection Status trong Windows, kích nút Details, sau đó tham khảo phần Default Gateway. Xem hình 1.
Lưu ý: Nếu không nhớ mật khẩu, hãy tham khảo hướng sử dụng hay tìm kiếm trên Google để lấy mật khẩu mặc định. Nếu đã thay đổi mật khẩu mặc định, bạn có thể thiết lập lại mật khẩu mặc định nhà máy bằng cách giữ nút reset nhỏ ở phía sau router hay điểm truy cập không dây của mình.
Nếu không thấy WPA2 trong các thiết lập bảo mật không dây của router hay điểm truy cập không dây, bạn có thể cần đến sự hỗ trợ từ các nâng cấp phần mềm bổ sung của nhà máy. Trong panel điều khiển, tìm các thông tin về hệ thống và trạng thái để kiểm tra xem phiên bản được cài đặt của phần mềm. Sau đó vào phần hỗ trợ trong website của nhà sản xuất và kiểm tra các desktop có sẵn cho model của bạn. Nếu có phát hành phần mềm mới nào cho thiết bị, hãy download nó và upload thông qua trang phần mềm trên panel điều khiển.
Nếu bạn có một số máy tính Windows, hãy cài đặt Service Pack 3, đây là phiên bản hỗ trợ WPA2. Kích Start, right-click My Computer, chọn Properties. Nếu đã cài đặt Service Pack 3, bạn sẽ thấy dòng chữ “Windows XP Service Pack 3”. Còn trong trường hợp không thấy, bạn hãy download và cài đặt bằng cách sử dụng Windows Updates.
Nếu đang sử dụng một adapter không dây cũ, adapter này có thể không hỗ trợ WPA2 nếu Windows hỗ trợ nó. Để kiểm tra sự hỗ trợ của nó trong Windows XP, mở hộp thoại Wireless Network Connection Properties, chọn tab Wireless Networks, kích Add. Bảo đảm WPA2 có trong menu sổ xuống trong phần Network Authentication. Xem trong hình 2.
Nếu không thấy WPA2, bạn có thể tìm sự hỗ trợ từ các nâng cấp driver bởi nhà sản xuất. Kiểm tra phiên bản của driver đã được cài đặt: Mở hộp thoại Wireless Network Connection Properties trong Windows, kích nút Configure, chọn tab Driver. Sau đó vào phần hỗ trợ của website nhà sản xuất và kiểm tra các download tương ứng với model thiết bị của bạn.
Nếu có phiên bản driver mới hơn, hãy download và nâng cấp bằng cách thực hiện theo hướng dẫn của nhà sản xuất hay thông qua tab Driver.
Sử dụng WPA2-Personal [PSK]
Để kích hoạt bảo mật WPA2-Personal, bạn cần nhập địa chỉ IP của router không dây hay điểm truy cập vào trình duyệt web, đăng nhập vào panel điều khiển và sau đó tìm các thiết lập bảo mật không dây.
Nếu không biết địa chỉ IP của router hoặc không nhớ mật khẩu, bạn hãy tham khảo các lưu ý trong phần trước.
Khi tìm thấy phần các thiết lập bảo mật không dây, chọn bảo mật WPA2 và mã hóa AES. Tiếp đó nhập vào 8 đến 63 ký tự làm Pre-Shared Key hoặc Passphrase. Cần biết rằng mật khẩu càng dài và càng phức tạp thì bảo mật của bạn càng an toàn. Thêm vào đó cũng nên sử dụng cả các ký tự in hoa và in thường cũng như các chữ số trong mật khẩu. Ghi mật khẩu ra giấy và cất giữ ở một nơi an toàn. Cuối cùng không được quên lưu lại các thay đổi mà bạn vừa thực hiện.
Lúc này bạn phải nhập vào cùng một mật khẩu trên các máy tính hoặc thiết bị được trang bị Wi-Fi. Trong Windows, bạn sẽ được nhắc nhở để nhập vào thông tin này khi kết nối. Tuy nhiên nếu đã từng sử dụng WEP hoặc WPA, Windows có thể không kết nối cho tới khi bạn sửa các thiết lập bảo mật đã lưu:
Trong Windows XP, kích đúp vào biểu tượng mạng không dây ở góc trên bên dưới, kích Change the order of preferred networks. Sau đó kích tên mạng và thay đổi Network Authentication thành WPA2-PSK, Data Encryption thành AES và nhập mật khẩu vào hai lần trong trường Network Key. Xem thể hiện trong hình 4.
Trong Windows Vista và Windows 7, triệu gọi danh sách các mạng không dây có sẵn, kích phải vào một mạng nào đó và chọn Properties. Sau đó thay đổi Security Type thành WPA2-Personal, Encryption Type thành AES, nhập vào mật khẩu làm Network Security Key.
Sử dụng WPA2-Enterprise
Trước khi có thể sử dụng WPA2-Enterprise, bạn phải chọn và cài đặt một máy chủ RADIUS server. Nếu đã có một Windows Server, bạn sẽ có thể sử dụng IAS hoặc NPS server. Các máy chủ RADIUS khác gồm có FreeRADIUS, Elektron và ClearBox. Lưu ý rằng một số điểm truy cập lớp doanh nghiệp [chẳng hạn như ZyXEL ZyAIR G-2000 Plus v2 sẽ có tích hợp các máy chủ RADIUS]. Nếu không có kinh phí hoặc chưa có nhiều kinh nghiệm trong việc điều hành một máy chủ riêng, bạn có thể sử dụng thông qua dịch vụ hosting, chẳng hạn như AuthenticateMyWiFi.