Bảo mật Wifi: nên sử dụng WPA2-AES, WPA2-TKIP hay cả hai?

Nhiều thiết bị định tuyến cung cấp WPA2-PSK (TKIP), WPA2-PSK (AES) và WPA2-PSK (TKIP/AES). Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) và Wi-Fi Protected Access II (WPA2) là những thuật toán bảo mật chính bạn sẽ thấy khi thiết lập một mạng không dây. WEP là thuật toán bảo mật Wifi lâu đời nhất nên có nhiều lỗ hổng bảo mật hơn. WPA đã có nhiều cải thiện an ninh, nhưng bây giờ cũng được coi là dễ bị xâm nhập. Trong khi WPA2 không hoàn hảo nhưng nó hiện là lựa chọn an toàn nhất. Giao thức khóa toàn vẹn thời gian (Temporal Key Integrity Protocol - TKIP) và tiêu chuẩn mã hóa tiên tiến (Advanced Encryption Standard - AES) là hai loại mã hóa khác nhau được sử dụng trên các mạng được bảo mật bằng WPA2. Chúng ta hãy xem chúng khác biệt như thế nào và điều gì tốt nhất cho bạn nhé.

• Bảo mật WiFi từ những bước cơ bản

So sánh AES và TKIP

TKIP và AES là hai loại mã hoá khác nhau được sử dụng bởi mạng Wifi. TKIP thực sự là một giao thức mã hóa cũ được giới thiệu với WPA để thay thế mã hoá WEP rất không an toàn vào thời điểm đó. TKIP tương tự như mã hóa WEP. TKIP không còn được coi là an toàn, do vậy bạn không nên sử dụng nó.

AES là một giao thức mã hóa an toàn hơn được giới thiệu bởi WPA2. AES cũng không phải là tiêu chuẩn đặc biệt được phát triển cho các mạng Wifi. Tuy nhiên đây là một chuẩn mã hoá trên toàn cầu thậm chí đã được chính phủ Mỹ thông qua. Ví dụ, khi mã hóa một ổ đĩa cứng với TrueCrypt, nó có thể sử dụng mã hóa AES. AES thường được coi là khá an toàn, và điểm yếu chính của nó là kỹ thuật đoán mật khẩu đúng sai (Brute-force attack) (được ngăn chặn bằng cách sử dụng mật khẩu Wifi mạnh).

Phiên bản ngắn TKIP là một chuẩn mã hóa cũ hơn được sử dụng theo tiêu chuẩn WPA. AES là một giải pháp mã hóa Wifi mới được sử dụng bởi tiêu chuẩn WPA2 mới và an toàn. Tuy nhiên, tùy thuộc vào bộ định tuyến của bạn, chỉ chọn WPA2 có thể không đủ.

Trong khi WPA2 được cho là sử dụng AES để bảo mật tối ưu, nó cũng có thể sử dụng TKIP để tương thích ngược với các thiết bị cũ. Ở trạng thái như vậy, các thiết bị hỗ trợ WPA2 sẽ kết nối với WPA2 và các thiết bị hỗ trợ WPA sẽ kết nối với WPA. Vì vậy "WPA2" không phải lúc nào cũng có nghĩa là WPA2-AES. Tuy nhiên, trên các thiết bị không có tùy chọn "TKIP" hoặc "AES", WPA2 thường đồng nghĩa với WPA2-AES.

“PSK” viết tắt của “pre-shared key - là mật khẩu mã hóa. Phân biệt nó với WPA-Enterprise sử dụng một máy chủ RADIUS để tạo ra mật khẩu trên các mạng Wifi của công ty lớn hoặc chính phủ.

Giải thích các chế độ bảo mật Wifi

Dưới đây là các tuỳ chọn mà người dùng có thể thấy trên bộ định tuyến của mình:

• Open (có rủi ro): Mạng Wifi mở không có mật khẩu. Người dùng không nên thiết lập mạng Wifi mở.
• WEP 64 (có rủi ro): Chuẩn giao thức WEP cũ rất dễ bị xâm nhập và bạn thực sự không nên sử dụng nó.
• WEP 128 (có rủi ro): Đây cũng là giao thức WEP, nhưng với mật mã được mã hóa tốt hơn. Tuy nhiên, thực tế nó không thực sự khá hơn WEP 64.
• WPA-PSK (TKIP): Sử dụng phiên bản gốc của giao thức WPA (chủ yếu là WPA1). Nó đã bị thay thế bởi WPA2 và không an toàn.
• WPA-PSK (AES): Sử dụng giao thức WPA ban đầu, nhưng thay thế TKIP bằng mã hóa AES hiện đại hơn. Nó được cung cấp như là một stopgap. Tuy nhiên các thiết bị hỗ trợ AES hầu như luôn luôn hỗ trợ WPA2, trong khi các thiết bị yêu cầu WPA rất ít khi hỗ trợ mã hóa AES. Vì vậy, tùy chọn này không có ý nghĩa.
• WPA2-PSK (TKIP): Sử dụng chuẩn WPA2 hiện đại với mã hoá TKIP cũ hơn. Chuẩn này cũng không an toàn và chỉ lý tưởng khi bạn có thiết bị cũ hơn không thể kết nối với mạng WPA2-PSK (AES).
• WPA2-PSK (AES): Đây là lựa chọn an toàn nhất. Nó sử dụng WPA2, chuẩn mã hoá Wifi và giao thức mã hóa AES mới nhất. Bạn nên sử dụng tùy chọn này.
• WPAWPA2-PSK (TKIP/AES): Một số thiết bị cung cấp và thậm chí là đề xuất tùy chọn chế độ hỗn hợp này. Tùy chọn này cho phép sử dụng WPA và WPA2, với cả TKIP và AES. Điều này cung cấp khả năng tương thích tối đa cho bất kỳ thiết bị cũ nào, nhưng cũng cho phép kẻ tấn công xâm nhập mạng bằng cách bẻ các giao thức WPA và TKIP dễ bị tổn thương hơn.

Chứng nhận WPA2 đã có mặt từ năm 2004, cách đây 10 năm. Năm 2006, chứng nhận WPA2 trở thành bắt buộc. Bất kỳ thiết bị nào được sản xuất sau năm 2006 với biểu tượng "Wifi" phải hỗ trợ mã hoá WPA2.

Vì thiết bị hỗ trợ Wifi của bạn có thể “trẻ” hơn 8-10 tuổi nên chỉ chọn WPA2-PSK (AES). Chọn tùy chọn đó và xem nó có hoạt đông không. Nếu thiết bị không hoạt động, bạn có thể thay đổi nó. Trong trường hợp bảo mật Wifi là mối quan tâm của bạn, bạn nên mua một thiết bị mới được sản xuất từ năm 2006.

WPA và TKIP sẽ làm chậm Wifi

Tùy chọn tương thích WPA và TKIP cũng có thể làm chậm mạng Wifi. Nhiều bộ định tuyến Wifi hiện đại hỗ trợ các chuẩn 802.11n và mới hơn, các tiêu chuẩn nhanh hơn sẽ giảm tốc độ xuống còn 54mbps nếu bật WPA hoặc TKIP. Điều này sẽ đảm bảo chúng tương thích với các thiết bị cũ hơn.

Chuẩn 802.11n hỗ trợ lên đến 300mbps nếu sử dụng WPA2 với AES. Về mặt lý thuyết, 802.11ac cung cấp tốc độ tối đa 3,46 Gbps trong điều kiện tối ưu. Trên hầu hết các thiết bị định tuyến mà chúng ta thấy, các tùy chọn thường là WEP, WPA (TKIP) và WPA2 (AES) - có thể WPA (TKIP) + WPA2 (AES).

Nếu có một bộ định tuyến cung cấp WPA2 với TKIP hoặc AES, hãy chọn AES. Vì hầu như tất cả các thiết bị chắc chắn sẽ làm việc với nó, và nó nhanh và an toàn hơn.