WPA Personal، راهي است ساده به سوي شبکه‌هاي بي‌سيم امن بدون اين‌که مجبور باشيم کليد را به صورت دستي وارد کنيم، مجبور به خريد چيزي باشيم يا نرم‌افزاري سمت کلاينت نصب کنيم که فقط روي ويندوز کار مي‌کند؛ اين استاندارد توسط مجمع واي‌فاي تهيه شده‌است، ولي برخلاف استانداردهاي قبلي واي‌فاي، براي تبديل شدن به يک استاندارد توسط IEEE راه زيادي در پيش دارد. از ماه جاري حمايت اوليه از WPA Personal در محصولات واي‌فاي اجباري شده است، ولي مجمع واي‌فاي در تست‌هاي خود اين را درنظرمي گيرد که کليدهاي رمزنگاري قبلاً به اشتراک گذاشته شده‌اند. به هر جهت دستيابي به يک توافق بر سر راهي مطمئن براي به اشتراک گذاري کليدها در آينده نزديک بعيد به نظر مي‌رسد .

بيشتر محصولات جديد واي‌فاي از بُعد امنيت که دغدغه‌اي مهم در شبکه‌هاي بي‌سيم به شمار مي‌رود، حمايت گسترده‌اي از Wi-Fi Protected Access2) WPA2) به عمل مي‌آورند که آخرين استاندارد رمزنگاري داده ارسالي از طريق هوا به شمار مي‌رود. محصولات واي‌فاي از اين استاندارد حمايت مي‌کنند؛ زيرا از ماه جاري مجمع واي‌فاي، قابليت سازگاري با WPA2 را به عنوان بخش اجباري تست‌هاي هماهنگي خود لحاظ مي‌کند.البته دو نوع WPA2 وجود دارد و بيشتر تلفن‌هاي واي‌فاي و بسياري از دستگاه‌هاي ديگر از نسخه قبلي حمايت مي‌کنند که از ابتدا براي شبکه‌هاي خانگي طراحي شده بود.
زماني که مجمع واي‌فاي به WPA2 دست يافت، بازار را به دو گروه تقسيم کرد: WPA و WPA Home .WPA پياده‌سازي تقريباً کاملي از مشخصات استاندارد IEEE 802.11i است که هدف آن ايجاد توانايي کار با RADIUSسرورها و پشتيباني دائمي کارکنان در شبکه‌هاي بزرگ مي‌باشد. WPA HOME که يک مدل سبک‌تر است با هدف نصب و راه‌اندازي ساده‌تر و امنيت کمتر ايجاد شده و فقط در لوازم الکترونيکي شخصي کاربرد دارد.
از دو هدف WPA HOME فقط يکي محقق شده است. به عبارت ديگر، نسخه خانگي، امنيت کمتري دارد، ولي براي کاربران خانگي به اندازه کافي ساده نيست و در شرکت‌ها هم از اين نسخه استفاده مي‌شود. به همين دليل مجمع واي‌فاي نام آن را به WPA Personal تغيير داد. مجمع واي‌فاي همچنين توجه خود را به روش‌هاي تسهيل مديريت کليدها معطوف کرده است. فروشندگان متعددي با سيستم اختصاصي کنار آمده‌اند، ولي در حال حاضر تنها راه مطمئن جهت انتقال کليدها براي WPA Personal، تايپ دستي آن‌هاست و البته هرچه شبکه بزرگ‌تر باشد، انجام اين کار سخت‌تر مي‌شود.

توسعه بيش از حدمشکل WPA Enterprise، پيچيدگي آن است. اين استاندارد بر اساس پروتکل‌
Extensible Authentication Protocol) EAP) کار مي‌کند که کليدهاي رمزنگاري را تغيير مي‌دهد و حداقل به يک سرور تأييد هويت نياز دارد. اين کار به خودي خود براي بيشتربخش‌هاي IT مؤسسات مشکلي ايجاد نمي‌کند، وليEAP نيز به تنهايي کافي نيست. اين پروتکل بر اساس نسخه‌هاي مختلف کار مي‌کند و انتخاب يکي از آن‌ها معمولاً به نوع سرور و روش تأييد هويت آن بستگي دارد.

به عنوان مثال، IETF استانداردهايي براي EAP بر اساس کلمه عبور و گواهي نامه ديجيتال دارد و Trusted Computing Group) TCG) ‌يک نمونه‌ ‌ازآن را با استفاده از چيپ‌هاي Trusted Platform Module) TPM) معرفي کرده است.

بيشتر توليدکنندگان نيز نسخه‌هاي اختصاصي خود را دارند. محصولات مايکروسافت به سادگي با Active Directory کار مي‌کنند. در حالي که سيسکو با سيستمي کار مي‌کند که از بانک کلمات عبوراستفاده کند و (حداقل تا حالا) هيچ‌گونه خطري متوجه اين بانک کلمات نبوده است.
وقتي کلاينتي عضو شبکه‌اي مي‌شود، همان نوع EAP که شبکه پشتيباني مي‌کند، کلاينت نيز بايد پشتيباني کند. اين کار معمولاً از طريق نرم‌افزاري انجام مي‌شود که به آن Supplicant مي‌گويند و هيچ نوعي از EAP وجود ندارد که براي همه دستگاه‌ها Supplicant داشته باشد.
بنابراين کاربران سيستم‌هاي اختصاصي کاملاً در اختيار يک فروشنده خاص قرار مي‌گيرند. براي مثال، مايکروسافت نرم‌افزار خود را در دسترس لينوکس قرار نمي‌دهد. از طرفي استانداردها هم به طور گسترده پشتيباني نمي‌شوند.
حتي اگر توليدکننده نرم‌افزاري بخواهد تمام انواع EAPها را پشتيباني کند، نمي‌تواند. بيشتر تلفن‌هاي واي‌فاي و دستگاه‌هاي بارکد حتي قدرت اجراي يک EAP Supplicant را ندارند. بنابراين به هيچ عنوان نمي‌توانند از WPA Enterprise استفاده کنند.
به همين خاطر، شبکه‌هايي که از اين تجهيزات استفاده مي‌کنند، بايد به کلاينت‌ها اين قابليت را بدهند که در زمان مقتضي به يک مد ارتباطي با امنيت کمتر سوييچ کنند؛ مثل WPA Personal يا چيزي ضعيف تر از آن.

وارد کردن کليدها بدون صفحه کليد WPA Personal نيز مانند WPA Enterprise از همان رمزنگاري AES ،128 و 256 بيتي استفاده مي‌کند؛ با اين تفاوت که نيازي به EAP ندارد. در عوض اين استاندارد مشخص مي‌کند که همه کلاينت‌ها از ابتدا کليد داشته باشند و از آن براي تأييد هويت استفاده کنند. پشتيباني اين استاندارد براي محصولات خيلي ساده است؛ چرا که در حال حاضر سازندگان بيشتر چيپ‌هاي راديويي 802.11،AES را در سخت‌افزار خود پياده‌سازي کرده‌اند. ولي قابليت تعويض کليدهاي AES متقارن در اين سخت‌افزارها وجود ندارد.
براي راحتي بيشتر، WPA Personal براي تمام کلاينت‌هاي شبکه از يک کليد استفاده مي‌کند. در عوض WPA Enterprise به هر کلاينت يک کليد انحصاري مي‌دهد که براي هر جلسه ‌(session) يا پکت به طور تصادفي توليد مي‌شود‌.‌ از اين نظر WPA Personal شبيه Wired Equivalent Privacy) WEP) ‌است که آشکارا، امنيت پياده‌سازي شده در استاندارد اوليه 802.11‌ را شکننده نشان مي‌داد.
به هر حال، WEP مشکلات شناخته شده زياد ديگري داشت که برطرف شده است. WPA اوليه همانند WEP توسط پياده‌سازي الگوريتم RC4 خود برخي مشکلاتش را حل کرد و قابليت پشتيباني از کليدهاي طولاني‌تر را اضافه نمود. بعداً WPA2 ،RC4 را کنار گذاشت و از AES استفاده کرد و باز هم طول کليد را طولاني‌تر کرد.
يک کليد اشتراکي همچنان مي‌تواند خطر امنيتي به همراه داشته باشد و هرچه شبکه بزرگ‌تر باشد، اين خطر بيشتر است. اين مشکل براي شبکه‌هاي خانگي که يکي دو تا کلاينت و يک AP دارند جدي نيست، ولي در مؤسسات بزرگ باعث آسيب‌پذيري شبکه در مقابل سرقت دستگاه‌ها و اطلاعات مي‌شود. اين مشکل از آنجا نمايان مي‌شود که اگر کليد از يکي از سيستم‌ها به سرقت برود، همه دستگاه‌ها در شبکه بايد کليدشان را عوض کنند.
بدون EAP تعويض کليدها کار مشکلي است. هرچه کليدها طولاني‌تر باشد، کار تايپ آن‌ها سخت‌تر است؛ مخصوصاً وقتي که دستگاه‌هايي بدون صفحه‌کليد در شبکه موجود باشد. محصولات زيادي هستند که از EAP پشتيباني نمي‌کنند. توليدکنندگان در اين زمينه به سه راهکار دست‌ يافته‌اند، ولي با توجه به خواستگاه‌هاي سيستمشان، هدف عمده همه آنان کاربران خانگي است و هيچ کدام ازآن‌ها با همه سخت‌افزارها کار نمي‌کنند.

وسيع؛ اما کم‌عمق‌رايج‌ترين نرم‌افزار براي مديريت کليدها؛ Broadcast Secure Easy Setup) SES) است که در بيشتر کارت‌هاي شبکه و نقطه دسترسي‌هاي داراي چيپ Broadcom که از اواسط سال 2004 به بعد توليد شده‌اند، وجود دارد.
SES از ترکيب کلمات عبور ترکيبي با جواب‌هايي به سؤالات امنيتي متعدد کليدها را توليد مي‌کند. به طوري که در واقع فقط براي جلوگيري از فراموشي کليدها طراحي شده است. برخلاف کلمات عبورساده، کليدهايي که SES مي‌سازد، نسبت به حملاتي که براي پيدا کردن کلمه عبور، تمام کلمات ممکن را تست مي‌کند ‌‌(Dictionary attack) آسيب‌پذير نيست و وارد کردن دستي کليدها، کاربرها مي‌توانند کلمات عبور ترکيبي و جواب‌ها را به راحتي به خاطر بياورند. به هر حال، اين برنامه براي ورود کليدها نمي‌تواند به دستگاه‌هايي که صفحه کليد ندارند کمکي بکند.
يک نسخه جديدتر SES يک کليد تصادفي را به طور خودکار توليد مي‌کند. اين عمل وقتي اتفاق مي‌افتد که کاربران يک کليد از کلاينت و AP را همزمان فشار دهند؛ اگرچه اين کار در برابر بعضي حملات Sniffing آسيب‌پذيري بالقوه به حساب مي‌آيد.
شرکت‌هاي Linksys وBuffalo Technology دکمه‌اي را روي APها براي اين منظور تعبيه کرده‌اند و در طرح اصليBroadCom نيز براي تلفن واي‌فاي چنين دکمه‌اي را قرار داده است. نرم‌افزار BroadCom در رابط گرافيکي خود، هم روي درايور کارت‌هاي شبکه و هم در يک رابط مديريت AP SSL،‌ براي دستگاه‌هايي که چنين دکمه‌هايي ندارند، دکمه‌اي براي کليک ماوس قرار داده است.
چيپ‌هاي برودکام در بازار مسيرياب‌هاي واي‌فاي خانگي به وفور يافت مي‌شوند، ولي آن‌ها را به ندرت مي‌توان درAPهاي تجاري پيدا کرد.
بسياري از اين APها داراي چيپ‌هاي Atheros هستند که يک سيستم تک کليدي مشابه به نام JumpStart را ارائه مي‌کند. اين سيستم در برابر حملات Sniffing به اندازه SES آسيب‌پذير نيست؛ زيرا علاوه بر فشار دادن يک کليد يک کلمه عبور نيز از کاربر درخواست مي‌کند و با استفاده از الگوريتم Diffie - Hellman يک کليد ارائه مي‌کند.
هم SES و هم JumpStart چيپ‌هاي مخصوص توليدکنندگان خود را روي کلاينت و AP نياز دارند که باعث محدوديت استفاده از آن‌ها مي‌شود. شرکت اسروس کد جامپ استارت را با يک مجوز نرم‌افزاري منبع‌باز منتشر کرده است. به طوري که به همان اندازه که رضايت محققان امنيت را جلب مي‌کند، توسط ساير توليدکنندگان قابل استفاده است، ولي تاکنون هيچ توليدکننده ديگري از پيشنهاد اسروس استقبال نکرده است.

امنيت شبکه‌هاي محلي خانگي‌شرکت هاي مايکروسافت و اينتل ازديدگاه انتقال فيزيکي کليدها بين کامپيوترها حمايت مي‌کنند. نسخه اوليه نتيجه اين ديدگاه در ويندوز اکس‌پي سرويس پک دو قرارداده شده است. اين نسخه يک کليد تصادفي توليد مي‌کند و با استفاده از درايوهاي فلش USB آن را به اشتراک مي‌گذارد. بنابراين با کارت‌هاي شبکه و APهاي تمام توليدکنندگان کار مي‌کند. اين قابليت، نسخه مذکور را به انتخابي مناسب براي کاربراني مبدل مي‌سازد که لپ‌تاپ‌هاي داراي سيستم عامل ويندوزخود را به خانه مي‌برند واز آنجا به يک شبکه واي‌فاي متصل مي‌شوند.
اين ويژگي براي شبکه‌هاي مؤسسات بزرگ هنوز کافي نيست. چون دستگاه‌هايي که از EAP پشتيباني نمي‌کنند، ويندوز اکس‌پي را نيز اجرا نمي‌کنند و درگاه USB هم ندارند.
مايکروسافت و اينتل براي اين دستگاه‌ها استفاده از تگ Radio Frequency Identification) RFID) را پيشنهاد مي‌دهند. RFID خيلي ارزان است و بسياري ازسازندگان گوشي همراه RFID Reader را به گوشي‌هاي خود اضافه کرده‌اند. آن‌ها همچنين پتانسيل بالاي بازار را براي دستگاه‌هايي مانند قاب عکس‌هاي واي فاي درک مي‌کنند که هيچ دکمه ورودي يا وسيله خاصي براي ورود کليد ندارند، ولي مي‌توانند کليد را از طريق RFID دريافت کنند.
کامپيوترهاي شخصي به طور استاندارد فاقد RFID هستند، ولي مي‌توانند به سمت درايوهاي USB تغيير مسير بدهند.
RFID به اندازه درايو USB ايمن نيست؛ زيرا نقل و انتقال داده مي‌تواند توسط يک آنتن جهت‌دار Sniff شود. از طرفي قدرت کمِ اکثر کارت‌هاي RFID به خودي خود احتمال Sniffing را بعيد مي‌سازد. عيب بزرگ‌تر اين است که هيچ کدام ازدستگاه‌هاي واي‌فاي هنوز RFID را اضافه نکرده‌اند. به همين خاطر اين سيستم براي کساني که در حال حاضر از تلفن هاي واي‌فاي استفاده مي‌کنند، کاربرد ندارد.در نهايت مي‌توان گفت تايپ کليدها به طور دستي نتيجه روشن‌تري دارد.

حفره‌هاي امنيتي‌صرف‌نظر از اين‌که کليدهاي WPA Personal چگونه تعويض مي‌شوند، مؤسسات بزرگ نمي‌توانند به طور کامل به آن تکيه کنند. کامپيوترها و ديگر دستگاه‌هاي با قابليت اجراي نرم‌افزار دلخواه مي‌توانند از WPA Enterprise يا VPN، با نسخه اختصاصي با امنيت کمتر براي دستگاه‌هايي که به آن نياز دارند، استفاده کنند.
به جا گذاشتن يک روزنه در ارتباطات بي‌سيم با امنيت پايين ممکن است براي برخي از بخش‌هاي IT خطرناک باشد، ولي به هرحال جايگزين مناسبي وجود ندارد که به همه دستگاه‌هاي غير EAP اجازه ورود به شبکه را بدهد.WPA Personal نسبت به WEP پيشرفت عمده‌اي به حساب مي‌آيد. توليدکنندگان بزرگ AP شامل Cisco ،Aruba Wireless Networks ،Meru Networks ،Symbol Technologies ،Trapeze Networks روش‌هايي براي به حداقل رساندن مخاطرات امنيتي دارند.
کلاينت‌هايي که با استفاده از WPA Enterprise تأييد هويت مي‌شوند، مي‌توانند به منابع مؤسسه دسترسي کامل داشته باشند و کساني که هويتشان تأييد نمي‌شود، فقط مي‌توانند به منابع خاصي دسترسي داشته باشند. به عنوان مثال، يک تلفن فقط به يک PBX، يک دستگاه بارکد خوان به يک سرور مخصوص و کاربران ميهمان به اينترنت مي‌توانند متصل شوند. سيستمي از همين نوع مي‌تواند ارتباطات کاملاً نامطمئني داشته باشد، ولي اجازه ورود به شبکه خصوصي را به آن‌ها ندهد و فقط استفاده از اينترنت رابراي آن‌ها امکانپذير سازد که اين سيستم براي دسترسي کاربران مهمان مناسب مي‌باشد.

منبع : مجله شبکه