Quelle est la différence entre WPA2-PSK et WPA2-EAP-PSK?

WPA2 EAP-PSK utilise WPA2-Enterprise pour effectuer une authentification 802.1X sur le serveur. Il utilise la méthode PSK d'EAP et permet à un client de s'authentifier avec uniquement l'utilisation d'un PSK.

Les avantages du WPA2-PSK est qu'il est pris en charge dans tous les appareils 802.11 de fabrication relativement récente (802.11g de 2e génération environ). Il est simple à configurer et simple à utiliser.

Le WPA2 EAP-PSK devrait être un peu plus sûr, car il serait plus difficile de calculer le PSK à partir du trafic capturé. Cependant, plusieurs des mêmes vulnérabilités existent si un attaquant était en mesure de mettre la main sur le PSK (ingénierie sociale, écrit, etc.).

Il y a plusieurs inconvénients:

1. Comme pour les autres méthodes WPA2-Enterprise, vous devez disposer d'un serveur d'authentification configuré pour s'authentifier, ce qui ajoute de la complexité.
2. Le demandeur et le client doivent tous deux prendre en charge la méthode EAP. AFAIK, seul wpa_supplicant prend en charge EAP-PSK et vous ne le trouverez pas sur la plupart des appareils.
3. EAP-PSK n'a jamais franchi le stade de développement "expérimental".
4. Il ne semble pas y avoir beaucoup d'intérêt, soit les gens ne veulent pas du tout de la complexité de WPA2-Enterprise (même avec une méthode d'authentification simple), soit ils se contentent d'utiliser d'autres méthodes EAP plus largement prises en charge.

La principale distinction entre les deux ne devrait pas concerner la cryptographie. WPA2-PSK, à condition que le mot de passe partagé soit d'une complexité suffisante, est incassable compte tenu des ressources actuelles. L'utilisation de WPA-EAP-PSK ou de toute implémentation WPA Enterprise (ie EAP)) ne doit pas viser à augmenter la puissance cryptographique d'un réseau sans fil mais à fournir d'autres avantages tels qu'un contrôle granulaire sur qui ou quoi se connecte au réseau.

Avec les options EAP sous WPA-Enterprise, chaque utilisateur et appareil peut avoir ses propres informations d'identification, ce qui augmente le contrôle et l'audit. Cependant, certaines de ces options sont très faibles sur le plan cryptographique. Pour utiliser une analogie, WPA-PSK, c'est comme avoir un verrou sur la porte de votre entreprise et fournir à chaque employé la même clé. WPA-Enterprise/EAP, c'est comme avoir un système de carte-clé qui déverrouille électroniquement la porte. Pour aller plus loin dans l'analogie, alors que ces cartes clés offrent un contrôle et un audit excellents pour chaque employé, le verrou sous-jacent est souvent plus faible que le bon pêne dormant à l'ancienne.

Revenons à la crypto, avec une clé de 256 bits, la seule attaque possible consiste à capturer la poignée de main sans fil puis à exécuter une attaque par dictionnaire. Tant que vous choisissez un mot de passe d'une complexité telle qu'il n'apparaîtra pas dans une liste de dictionnaires, WPA-PSK sera incassable. Maintenant, si vous avez un besoin ou une préoccupation concernant le partage d'une clé par tous les utilisateurs ou appareils en raison de l'ingénierie sociale, de la confiance, etc., alors vous devez regarder les options EAP/Enterprise, mais cryptographiquement, vous n'allez probablement pas battre WPA-PSK.