Você deve usar WPA2-AES, WPA2-TKIP ou ambos?

Para segurança máxima, você deve usar WPA2 (AES) se tiver dispositivos mais antigos em sua rede e WPA3 se tiver um roteador mais novo e dispositivos mais recentes que o suportem.

Seu roteador Wi-Fi oferece opções de criptografia como WPA2-PSK (TKIP), WPA2-PSK (AES) e WPA2-PSK (TKIP/AES) e até mesmo, se for moderno o suficiente, WPA3 (AES). Pode ser um pouco confuso e, se você escolher o errado, acabará com uma rede mais lenta e menos segura. Aqui está o que você precisa saber.

WPA2 x WEP, WPA e WPA3

Quando você lê sobre segurança Wi-Fi, o foco principal geralmente é o tipo de criptografia usada para proteger a conexão sem fio. Afinal, isso faz sentido porque, pela própria natureza de um roteador Wi-Fi, toda a comunicação entre seu dispositivo cliente (como seu smartphone ou laptop) e o roteador é transmitida abertamente. Qualquer pessoa dentro do alcance do seu roteador pode escutar essa comunicação ou até mesmo obter acesso ao seu roteador se a conexão sem fio não for segura.

Esta conexão sem fio é protegida por algoritmos de segurança projetados especificamente para Wi-Fi. Esses algoritmos não são estritamente apenas criptografia (embora seja um componente crucial), mas incluem funções adicionais que controlam como as chaves são trocadas e verificadas e muito mais.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access II (WPA2) são os principais algoritmos de segurança que você verá ao configurar uma rede sem fio. Se você tiver um roteador mais novo, também poderá ver Wi-Fi Protected Access III (WPA3).

O WEP é o mais antigo e provou ser vulnerável à medida que mais e mais falhas de segurança são descobertas. O WPA melhorou a segurança, mas agora também é considerado vulnerável a invasões.

WPA2, embora imperfeito, é mais seguro do que WEP ou WPA e é um dos algoritmos de segurança Wi-Fi mais usados. As redes WPA e WPA2 podem usar um dos dois protocolos de criptografia, Temporal Key Integrity Protocol (TKIP) e Advanced Encryption Standard (AES). Veremos a diferença entre esses dois protocolos de criptografia em um momento.

Finalmente, as redes WPA3 usam apenas o protocolo de criptografia AES. Embora tenha sido introduzido em 2018, o WPA3 ainda não está em ampla adoção.

Extensão AES x TKIP

TKIP e AES são dois tipos diferentes de criptografia que uma rede Wi-Fi pode usar. O TKIP é, na verdade, um protocolo de criptografia mais antigo introduzido com o WPA para substituir a criptografia WEP muito insegura da época. TKIP é bastante semelhante à criptografia WEP. O TKIP não é mais considerado seguro e agora está obsoleto. Em outras palavras, você não deve usá-lo.

AES é um protocolo de criptografia mais seguro introduzido com WPA2. O AES também não é um padrão esquisito desenvolvido especificamente para redes Wi-Fi. É um padrão de criptografia mundial sério que foi adotado até pelo governo dos EUA.

Por exemplo, quando você criptografa um disco rígido com TrueCrypt, pode usar a criptografia AES para isso. A ferramenta de criptografia integrada do Windows, BitLocker, também usa AES, assim como a ferramenta macOS FileVault. AES é geralmente considerado bastante seguro, e os principais pontos fracos seriam ataques de força bruta (impedidos pelo uso de uma senha forte) e pontos fracos de segurança em outros aspectos do WPA2.

A versão curta é que o TKIP é um padrão de criptografia mais antigo usado pelo padrão WPA. AES é uma solução de criptografia Wi-Fi mais recente usada pelo novo e seguro padrão WPA2. Em teoria, é o fim. Mas, dependendo do seu roteador, escolher o WPA2 pode não ser suficiente.

Embora o WPA2 deva usar o AES para segurança ideal, você também pode usar o TKIP onde a compatibilidade com dispositivos legados for necessária. Nesse estado, os dispositivos compatíveis com WPA2 se conectarão com WPA2 e os dispositivos compatíveis com WPA se conectarão com WPA. Portanto, “WPA2” nem sempre significa WPA2-AES. No entanto, em dispositivos sem a opção “TKIP” ou “AES” visível, WPA2 geralmente é sinônimo de WPA2-AES.

Modos de segurança Wi-Fi explicados: qual você deve usar?

Confuso ainda? Não se sinta mal se estiver. O mundo da segurança Wi-Fi é bastante misterioso se você não é fã de redes. Felizmente, você não precisa entender as complexidades de como os protocolos de segurança e os handshakes mudaram entre todas as gerações de Wi-Fi.

Você só precisa percorrer nossa lista abaixo e selecionar a opção mais segura que funciona com todos os seus hardwares e dispositivos. Para ajudá-lo a evitar opções antigas e inseguras, nós as marcamos com [Deprecated] depois do nome dele.

E, para ser claro, não estamos controlando arbitrariamente esses protocolos e depreciando-os com base em nossas opiniões. Tanto a Microsoft quanto a Apple também os designaram, e é por isso que seu laptop Windows avisa quando uma rede Wi-Fi não é segura e seu iPhone avisa quando as redes Wi-Fi são pouco seguras.

Além disso, não listamos as opções “Enterprise” na lista abaixo porque a segurança Wi-Fi empresarial ou baseada em servidor RADIUS é rara em ambientes residenciais e requer infraestrutura adicional.

Além disso, observe que, dependendo do seu roteador, as opções não corporativas podem ser designadas como “Pessoal” ou “PSK”. PSK significa “Chave pré-compartilhada” e indica que, ao contrário de uma configuração corporativa, a segurança não depende de um servidor de autenticação, mas sim do usuário ter a Chave pré-compartilhada (a senha do Wi-Fi) para efetuar login como sua autenticação de método. Começando com WPA2 e especialmente WPA3, é mais comum ver “Pessoal” em vez de “PSK”.

Com essas observações em mente, essas são as opções que você provavelmente verá em seu roteador.

• abrir [Deprecated]: Redes Wi-Fi abertas não possuem senha. Você não deve configurar uma rede Wi-Fi aberta; sério, a polícia pode arrombar sua porta.
• WEP64 [Deprecated]: O antigo padrão de protocolo WEP é vulnerável e você não deve usá-lo.
• WEP 128 [Deprecated]: Este é WEP, mas com um tamanho de chave de criptografia maior. Não é menos vulnerável que o WEP 64.
• WPA-PSK (TKIP) [Deprecated]: Usa a versão original do protocolo WPA (essencialmente WPA1). Ele foi substituído pelo WPA2 e não é seguro.
• WPA-PSK (AES) [Deprecated]: usa o protocolo WPA original, mas substitui o TKIP pela criptografia AES mais moderna. Oferecido como paliativo, mas os dispositivos que oferecem suporte a AES quase sempre oferecem suporte a WPA2, enquanto os dispositivos que exigem WPA raramente oferecem suporte à criptografia AES. Portanto, esta opção faz pouco sentido.
• WPA2-PSK (TKIP) [Deprecated]: usa o padrão WPA2 moderno com a criptografia TKIP mais antiga. Isso não é seguro e é uma boa ideia apenas se você tiver dispositivos mais antigos que não podem se conectar a uma rede WPA2-PSK (AES).
• WPA2-PSK (AES): Esta é a opção mais segura (fora do WPA3 mais recente). Ele usa WPA2, o mais recente padrão de criptografia Wi-Fi e o mais recente protocolo de criptografia AES. Você deve usar esta opção, a menos que seu roteador suporte WPA3; em seguida, use-o em seu lugar. Em alguns dispositivos, você verá apenas a opção “WPA2” ou “WPA2-PSK”. Se o fizer, provavelmente usará apenas o AES, pois essa é uma escolha de bom senso.
• WPA/WPA2-PSK (TKIP/AES): alguns dispositivos oferecem e até recomendam esta opção de modo misto. Esta opção permite WPA e WPA2, com TKIP e AES. Isso fornece compatibilidade máxima com qualquer dispositivo mais antigo que você possa ter, mas também permite que um invasor invada sua rede quebrando os protocolos WPA e TKIP mais vulneráveis.
• WPA2/WPA3 Pessoal (AES): como o híbrido WPA/WPA2, este modo é projetado para compatibilidade com versões anteriores. Seus dispositivos somente WPA2 se conectarão usando WPA2 (AES) e seus dispositivos WPA3 usarão o protocolo mais avançado. Também pode ser rotulado como “WPA3 Transitional” ou uma variação do mesmo.
• WPA3Pessoal (AES): roteadores mais antigos não possuem WPA3 e dispositivos mais antigos não podem usar WPA3. Mas se você tiver um novo roteador compatível com WPA3 e todos os dispositivos mais recentes, não há motivo para não mudar completamente para WPA3.

A certificação WPA2 tornou-se disponível em 2004. Em 2006, a certificação WPA2 tornou-se obrigatória. Qualquer dispositivo fabricado após 2006 com o logotipo “Wi-Fi” deve oferecer suporte à criptografia WPA2. A certificação WPA3 tornou-se disponível em 2018 e qualquer dispositivo certificado após 1º de julho de 2020 deve oferecer suporte a WPA3. (Observe o uso de certificados e não fabricados, uma empresa ainda pode fabricar e vender um projeto mais antigo que foi certificado antes da adoção de um novo padrão.)

Dado que es muy probable que todos los dispositivos Wi-Fi de su red (incluido el propio enrutador) hayan sido certificados y fabricados después de 2006, no hay ninguna razón por la que no deba utilizar ningún protocolo de seguridad inferior a WPA2-PSK ( A É). Você deve ser capaz de selecionar essa opção em seu roteador e não ter problemas.

Se você tiver um roteador mais novo que suporte WPA3, recomendamos tentar o WPA3 (AES) para atualizar para o nível mais alto de segurança. Se você tiver algum problema, mude para WPA2/WPA3 Hybrid (AES). Dessa forma, os dispositivos mais novos usarão a melhor segurança e os dispositivos mais antigos voltarão ao WPA2; de qualquer forma, eles usarão o AES, o que é ideal.

Se você não tiver um roteador mais novo, provavelmente é hora de reciclá-lo e atualizar para um roteador Wi-Fi atual com padrões atualizados e todos os aprimoramentos de Wi-Fi que o acompanham. Você não precisa comprar um modelo Wi-Fi 7 de próxima geração, mas agora é um bom momento para mudar para Wi-Fi 6 ou Wi-Fi 6E, caso ainda não o tenha feito.

WPA e TKIP retardarão seu Wi-Fi

Talvez você tenha lido até agora e pensado: “Eu realmente não me importo muito com segurança”. Embora encorajemos você a se preocupar mais com a segurança da rede Wi-Fi, entendemos que não é uma prioridade urgente para todos.

Portanto, aqui está um motivo convincente para usar algoritmos de segurança Wi-Fi melhores que todos podem apoiar. As opções de compatibilidade WPA e TKIP não são ruins apenas do ponto de vista da segurança. Eles também podem diminuir a velocidade da sua rede Wi-Fi.

Quando você executa o WPA/TKIP em um roteador que suporta 802.11n e padrões mais novos e mais rápidos, ele diminui para velocidades 802.11g (54 Mbps) para garantir a compatibilidade com clientes mais antigos. Isso é terrivelmente lento.

Em comparação, até 802.11n (Wi-Fi 4) suporta até 300 Mbps se você usar WPA2 com AES. No entanto, a maioria das pessoas tem roteadores mais novos agora. Se você tem um roteador 802.11ac (Wi-Fi 5) ou 802.11ax (Wi-Fi 6) e está usando WPA/TKIP, está deixando muito desempenho em cima da mesa.

Em gerações de Wi-Fi, 802.11g é essencialmente “Wi-Fi 2” e foi lançado em 2003. Simplesmente não há um bom motivo para usar um padrão de segurança Wi-Fi inseguro, desatualizado e lento.

Na dúvida, escolha sempre WPA 2 (AES) ou WPA3

Dissemos isso várias vezes até agora, mas uma última vez para enfatizar. Se você não tiver certeza de qual configuração escolher em seu roteador, escolha sempre a mais segura e, para qualquer rota feita após 2010 ou mais, é WPA 2 (AES) ou WPA 3.

Na maioria dos roteadores que vimos certificados antes de 2018, as opções são geralmente WEP, WPA (TKIP) e WPA2 (AES), talvez com um modo de compatibilidade WPA (TKIP) + WPA2 (AES) incluído para uma boa medida. Se é isso que seu roteador oferece, defina seu roteador para WPA2 (AES).

Em roteadores certificados após 2018 (especialmente após o prazo de 1º de julho de 2020), você encontrará os modos de compatibilidade WPA3 e WPA2/WPA3. Recomendamos vivamente que experimente o modo WPA3 puro. Se tudo funcionar muito bem! Você tem as melhores configurações de segurança Wi-Fi possíveis. Se você achar que existem alguns itens críticos de missão mais antigos em sua casa (como um termostato Wi-Fi) que não funcionam bem com WPS, volte para o modo de compatibilidade WPA2/WPA3.

Mas faça o que fizer, é hora de deixar de lado todos os protocolos de segurança Wi-Fi inferiores, como WEP, WPA e WPA2 (TKIP) para sempre.