什么是WPA3，如何在我的Wi-Fi路由器上获取它？

WPA3 于 2018 年推出，但围绕它是什么、它提供了哪些改进以及如何获得它仍然存在一些困惑。以下是您需要了解的有关WPA3以及如何将其与家庭Wi-Fi网络一起使用的信息。

WEP、WPA 和 WPA3 之路

自 1990 年代后期引入 Wi-Fi 以来，Wi-Fi 一直具有某种形式的安全算法来提供用户身份验证和通信加密。

最初的Wi-Fi安全算法是有线等效保密（WEP），于1997年作为第一代Wi-Fi的一部分推出。顾名思义，它旨在提供相当于用户在有线网络连接上体验的隐私级别。

从一开始，WEP就不是一个特别强大的加密协议，早期的Wi-Fi路由器和接入点很容易被利用。WEP在2003年被Wi-Fi保护访问（WPA）取代。虽然WPA是对WEP的重大改进，但它也被证明容易受到攻击，特别是当用户将Wi-Fi路由器设置为使用WPA（TKIP）时。

TKIP，或临时密钥完整性协议，比WEP中使用的加密要好得多，但很快就被证明存在漏洞。WEP 和 WPA（及其所有变体）现已弃用，不应再使用。

2004年，Wi-Fi联盟推出了Wi-Fi保护访问II（WPA2），其中包括对WPA的增强，最引人注目的是从TKIP升级到更强大的AES（高级加密标准）。从 2004 年 2020 月到 2 年 <> 月，所有带有官方 Wi-Fi 认证商标的设备都必须符合 WPA<> 标准。

2018年，Wi-Fi联盟宣布推出Wi-Fi保护访问III（WPA3）。直到 3 年 2020 月，才强制要求遵守 WPA3 标准，此时所有寻求 Wi-Fi 认证的新设备都必须符合 WPA<> 标准的强制性元素。

WPA3与WPA2有何不同？

在这一点上，在3年首次宣布WPA2018几年后，您可能已经看到了这个名字。根据您的 Wi-Fi 路由器和设备的新程度，您甚至可能在设置菜单中找到它。那么真正的区别是什么，你为什么要考虑使用WPA3？

核心 WPA3 安全增强功能

首先，让我们看一下一些核心安全增强功能。在WPA2和WPA3之间的过渡中引入了许多WPA的小增强功能，但是为了不将本文变成一百页的技术文档，我们将坚持重点介绍备受瞩目的增强功能。

另请注意，我们称这些为“核心”，因为并非在更广泛的WPA2到WPA3升级中提出并包含的每个改进都是强制性的。但是，以下改进是。

强制实施的受保护管理帧 （PMF）

您在各代Wi-Fi安全中看到的许多改进并不是全新的事物，而只是最新的安全标准，强制执行先前的安全措施。

您可能已经阅读了WPA3如何更安全的信息。它更安全的原因之一是WPA3认证需要使用受保护的管理框架（PMF）。网络帧的技术性很强，但您可能还记得，我们在讨论 Wi-Fi 网络名称可以有多长时简要地谈到了它们。

在无线网络中，管理帧是用于发送身份验证、取消身份验证、探测请求和响应以及 Wi-Fi 路由器与连接到它的客户端设备之间的其他后台管理通信的传输类型。这些微小的传输可帮助您的设备安全地连接到Wi-Fi网络，并且可以想象，它们非常重要且敏感。

如果未启用受保护的管理框架，则所有管理框架数据都将以开放方式发送，从安全角度来看，这是有问题的。启用 PMF 后，将加密管理帧。

PMF系统于2009年首次推出，但只有在WPA3的发布和更新的认证要求之后，现在所有使用WPA3（术语“强制PMF”）的设备才需要PMF。这可能看起来有点技术性，但您应该高枕无忧，因为强制执行的 PMF 可确保您的连接免受常见攻击。

这包括断开连接攻击（欺骗网络数据并迫使客户端断开连接，可能作为其他攻击的跳板），以及蜜罐和“邪恶双胞胎”攻击（引导客户端设备远离真正的Wi-Fi接入点，再次为其他攻击打开它）。您可以在此 Wi-Fi 联盟文档中阅读有关受保护管理框架的更多信息。

防止暴力攻击

WPA3包括许多增强功能，以防止暴力破解和离线攻击。最值得注意的变化（当然也是最彻底的）是从预共享密钥（PSK）模型转向同时平等身份验证（SAE）模型。

PSK系统自成立以来一直受到漏洞的困扰。PSK系统容易受到免费工具的暴力攻击，尤其是令人不安的离线攻击，攻击者可以从您的网络通信中收集数据，然后在闲暇时对其进行破解。WPA2 （AES） 使用的核心加密不是问题;WPA2使用的四向按键握手是问题所在。

SAE 系统改变了 Wi-Fi 接入点和设备之间的握手方式，防止了密钥安装攻击 （KRACK） 和收集的 Wi-Fi 数据的离线暴力解密等漏洞。

2019 年，为新的 SAE 系统发布了一组五个概念验证漏洞，统称为 Dragonsblood（这是对 SAE 所基于的蜻蜓密钥交换的致敬）。幸运的是，这些漏洞很容易修补，并且有记录在案的野外使用的漏洞利用实例。这肯定比我们以前的Wi-Fi漏洞及其影响要多得多。

高级 192 位企业加密

除了WPA3个人版和WPA3企业版用户都可以使用的安全增强功能外，WPA3企业版用户还可以获得额外的奖励。

虽然它不是您通常在家中设置的东西，除非您是喜欢将家庭网络用作家庭实验室来使用高级网络技术的高级用户，但公司现在可以部署具有高级加密功能的Wi-Fi。WPA3 企业 192 位模式提供最先进的 Wi-Fi 加密。

可选的 WPA3 增强功能

WPA3认证需要某些元素，例如上述强制PMF和对SAE密钥交换的支持。以下两项改进目前不是核心WPA3认证要求的一部分，而是独立的Wi-Fi联盟认证，可以与核心WPA3认证一起分层在产品之上。

由于这两个功能都是与WPA3同时宣布和大力推广的，因此它们已与升级的无线安全标准相关联。

无线网络增强型开放

如果您还记得在3年宣布WPA2018时，很多关于安全开放Wi-Fi热点的喋喋不休，那么您还记得：Wi-Fi增强型开放，这是一种基于机会性无线加密（OWE）保护开放Wi-Fi网络的新方法。

Wi-Fi 增强型开放是对开放式 Wi-Fi 网络安全性的可喜改进，就像您在机场、酒店、咖啡店和其他公共场所找到的那种网络一样。由于此类位置已打开网络供任何人连接，因此网络流量未加密。

虽然越来越多地使用 HTTPS 和应用程序加密来保护网络、社交媒体和其他连接，无论您连接到的 Wi-Fi 网络的安全设置如何，使用互联网都更安全，但将所有设备流量都放在露天仍然不太理想。

Wi-Fi 增强型开放与 WPA3 相结合，从您连接到开放网络的那一刻起，就会在您的设备和 Wi-Fi 接入点之间创建加密连接，无论您从未在网络上进行身份验证或提供密码。

这是开放热点安全方面的一次光年级飞跃，也是对旧开放Wi-Fi网络提供的狂野西部未加密体验的可喜背离。

无线轻松连接

Wi-Fi 轻松连接是设备预配协议 （DPP） 的 Wi-Fi 联盟认证名称。Wi-Fi 轻松连接是一种将设备连接到旨在取代 Wi-Fi 保护设置 （WPS） 的 Wi-Fi 网络的安全方法。鉴于困扰WPS的安全问题，这是一个受欢迎的升级。

借助 Wi-Fi 轻松连接，您可以使用配置应用程序扫描 Wi-Fi 路由器上的二维码或 NFC 标签。然后，您只需扫描任何支持 Wi-Fi 轻松连接的设备上的二维码或 NFC 标签。如果您使用 iPhone 将 HomeKit 设备扫描到智能家居网络中，则体验非常相似。

Wi-Fi 轻松连接取代了 WPS，并提供同样易于扫描添加的使用，因此您可以轻松将没有显示器、键盘甚至按钮的设备添加到您的网络中。这是对不安全的WPS系统的重大改进，比将设备置于Wi-Fi配对模式，将手机连接到设备，输入SSID和密码以及其他过于复杂的方式将设备添加到家庭网络要快得多。

除了更轻松地将设备安全地添加到家庭网络外，Wi-Fi 轻松连接还具有一项额外功能。当您使用轻松连接将设备与路由器配对时，即使更改路由器的 SSID 和密码，设备的连接也会持续存在。因此，如果您必须对网络进行更改，则不必再次将恒温器，智能灯泡和其他Wi-Fi Easy Connect兼容设备重新添加到网络中。

如何在我的 Wi-Fi 路由器上获取 WPA3？

阅读本指南的每个人都处于有关家庭Wi-Fi网络上WPA3升级的三种潜在情况之一。他们要么有一个支持WPA3的新路由器，要么他们有一个较旧（但不是太旧）的路由器，可以通过固件更新获得WPA3，或者他们需要完全更新他们的路由器。鉴于WPA3是您可以在家庭网络上使用的最佳Wi-Fi加密，人们当然有理由好奇他们属于哪个阵营以及如何获得WPA3。

您有一个新的 WPA3 认证路由器

如果您的路由器在2018年之后获得认证，则很有可能与WPA3兼容。如果它是在 1 年 2020 月 3 日之后获得认证的，则必须与 WPA<> 兼容。

在这种情况下，您只需登录路由器并在网络设置中启用WPA3即可。如果您在启用 WPA3 后发现较旧的 Wi-Fi 设备会断开网络，则可能需要切换到 WPA2/WPA3 过渡模式，以允许较旧的设备使用 WPA2 进行连接。

您有符合固件升级条件的路由器

与一些家庭网络和智能家居升级不同，在这些升级中，改进需要新的硬件（例如具有特殊安全芯片或新无线电类型的设备），WPA3是对WPA2的基于软件的升级。

如果您的 Wi-Fi 路由器具有足够强大的硬件来支持 WPA3 的需求（例如受保护的管理帧），并且制造商发布了更新的固件，那么您正在开展业务。例如，整个Eero网状路由器系列一直追溯到第一代，已经收到了WPA3的固件更新。

因此，虽然有很多很好的理由来更新您的路由器（特别是如果您的ISP给您的那个疲惫的旧路由器），但请务必在跳转之前检查固件更新，以获得WPA3支持。

您有一个旧路由器

大多数人多年来一直使用他们的 Wi-Fi 路由器，因此很有可能即使在 2023 年初，阅读本文的人也很有可能拥有足够旧的路由器，以至于它们不支持 WPA3（并且不能/不会收到固件更新来支持它）。

如果您发现自己处于这种情况，可能是时候升级了。不仅仅是因为访问WPA3是Wi-Fi安全向前迈出的极好的一步。路由器技术随着时间的推移稳步发展，如果您的路由器不支持WPA3，则可能是在3-5 +年前设计和认证的。

即使您不是很想获得WPA3，也可能是时候升级您的路由器以享受更好的硬件，更好的覆盖范围以及访问更高级的功能（包括WPA3）。

关于WPA3的常见问题

WPA3可能在2018年宣布，但这并不意味着人们对它仍然有很多疑问。以下是我们得到的有关WPA3 Wi-Fi路由器和设备的一些常见问题。

旧路由器可以升级到WPA3吗？

理论上，是的。Wi-Fi路由器或其他设备是否获得启用WPA3的固件升级取决于该设备中的硬件，制造商以及制造商是否打算跳过必要的箍并为旧硬件发布更新的固件。

可以肯定地说，如果您的特定路由器此时尚未收到支持 WPA3 的固件更新，则将来不太可能收到。

我可以在较旧的设备上使用 WPA3 吗？

Wi-Fi 接入点和连接的设备都需要支持 WPA3，以便您在较旧的设备上使用 WPA3。如果您有支持 WPA3 的 Wi-Fi 路由器，但家庭网络上仍有仅限 WPA2 的设备，则需要启用 WPA2/WPA3 过渡模式或将仅支持 WPA2 的设备替换为支持 WPA3 的更新设备。

此问题的一种解决方法是使用支持 WPA3 并具有以太网桥接端口的新 Wi-Fi 扩展器或网状节点。然后，您可以插入任何支持以太网的设备，网络连接将由支持 WPA3 的扩展器或节点处理。您可能无法直接将旧控制台或计算机更新到 WPA3，但此黑客使用 WPA3 将您的设备桥接到网络。

今天购买的设备是否保证支持WPA3？

不可以，今天购买的设备不保证支持WPA3。鉴于WPA3于2018年宣布，WPA3于2020年<>月成为强制性规定，这似乎令人困惑，但必须做出重要的区分。

强制性要求基于给定设备由Wi-Fi联盟认证的时间，而不是制造时间。

例如，截至 2023 年初，您仍然可以购买最畅销的 Netgear 夜鹰 5700。但 5700 在十多年前就通过了认证。它在制造或销售时不需要满足当前的 Wi-Fi 联盟认证标准。它只需要满足2013年最初获得认证的Wi-Fi联盟认证要求。

为避免此问题，最好确认您考虑购买的任何旧设备具有WPA3支持，或者只是购买经过认证并在2020年<>月之后推向市场的产品。

试用WPA3是否有风险？

不，试用WPA3的风险为零。在最好的情况下，您家中的所有东西都足够新，可以支持 WPA3，并且您注意到 WPA2 和 WPA3 之间的区别为零（但受益于增强的安全性和优化）。

最坏的情况是，您注意到一堆Wi-Fi设备脱离了网络，不再正确连接。此时，您可以切换到WPA2 / WPA3过渡模式或返回WPA2模式，所有这些设备将自动重新连接到您的Wi-Fi路由器。

使用这些设置没有任何风险，因为当您恢复设置时，一切都会恢复到原来的样子。

如果我不升级到WPA3，我的家庭网络是否容易受到攻击？

当你谈论安全和风险时，答案从来都不是二元的“是”或“否”，而是对程度和风险接受/避免的研究。

WPA3在WPA2上包括许多受欢迎的安全改进，最终，每个人都将使用WPA3（我们将像谈论WEP和WPA这样的旧弃用标准一样谈论WPA2）。因此，如果您可以毫不费力地切换到WPA3，并且无需更换家中的所有设备来支持它，请务必这样做。

但是，如果您有很多不想更换的旧设备，则可以根据需要使用WPA2 / WPA3过渡模式，甚至可以继续在旧路由器上使用WPA2（AES）模式。请务必使用这些路由器安全最佳实践来确保您的路由器尽可能安全。

我需要WPA3企业模式吗？

家庭用户不需要WPA3企业模式。许多住宅级路由器不仅不支持它，而且需要额外的基础设施来部署（除了Wi-Fi硬件之外，您还需要身份验证服务器来处理设备身份验证和密钥管理）。

家庭用户没有实际的理由对企业模式大惊小怪。从WPA2个人版WPA3个人版升级所带来的一般安全性改进是实质性的，企业级加密提供的额外提升对于家庭设置来说不值得麻烦。