本文目录导读:

- 强制支持 WPA3,告别脆弱的 WPA2
- 更强的抵御暴力破解能力:SAE 握手
- 公共 Wi-Fi 和开放式网络的安全增强:OWE
- 更安全的物联网和智能家居连接:Easy Connect
- 更细粒度的控制和监控
- 总结对比
- 重要提醒
WiFi 6(802.11ax)相比 WiFi 5(802.11ac)在安全性上的提升,不仅仅是速度更快,而是强制引入了一项核心技术——WPA3 安全协议,这是两者在安全层面最根本、最重要的区别。
可以这样理解:WiFi 5 时代,WPA3 是可选的“推荐项”;而在 WiFi 6 时代,WPA3 是强制认证的“标配”。
下面来详细拆解这些提升:
强制支持 WPA3,告别脆弱的 WPA2
这是最核心的提升,WiFi 5 路由器主要依赖 WPA2 协议,虽然它足够应对日常使用,但存在一个著名的漏洞——KRACK 攻击,攻击者可以在 Wi-Fi 范围内破解 WPA2 的加密握手过程,窃听或篡改数据。
WiFi 6 认证的设备必须支持 WPA3,WPA3 并未完全取代 WPA2(为了兼容旧设备),但它提供了更强大的加密和认证方式,彻底修复了 WPA2 的固有缺陷。
更强的抵御暴力破解能力:SAE 握手
WPA2 使用的是 4次握手(4-Way Handshake),攻击者可以捕获握手过程中的数据包,然后离线进行字典攻击,尝试无数密码组合,只要密码弱,就可能被破解。
WPA3 引入了 SAE(Simultaneous Authentication of Equals,对等实体同时认证),也叫“蜻蜓握手(Dragonfly Handshake)”。
- 前向安全性: 即使攻击者在对话过程中抓取了所有数据包,未来任何时候如果获取了路由器的密码(比如密码被泄露),也无法解密之前已经完成通信的旧数据,这保护了历史通信内容。
- 抗离线攻击: SAE 协议在握手过程中,要求攻击者必须实时参与每一次密码猜测,这使得暴力破解效率极低,因为无法像 WPA2 那样离线进行大规模计算,即使使用弱密码,攻击难度也大幅增加。
公共 Wi-Fi 和开放式网络的安全增强:OWE
这是专门为 开放网络(无密码) 或 公共 Wi-Fi 场景设计的,在 WiFi 5 时代,连接开放的酒店、机场 Wi-Fi,数据传输是明文,极易被窃听和篡改(如 DNS 劫持、会话劫持)。
WPA3 引入了 OWE(Opportunistic Wireless Encryption,机会性无线加密),虽然连接时看起来不需要密码,但系统会为每个设备自动、唯一地生成一个动态加密连接,数据在传输过程中是加密的,这有效防止了“邪恶双子星”攻击(伪装成同名热点的钓鱼攻击)和窃听。
更安全的物联网和智能家居连接:Easy Connect
WiFi 6 支持 WPA3-Enterprise(企业级) 的增强版,同时引入了 Wi-Fi Easy Connect(基于 DPP,Device Provisioning Protocol,设备配置协议)。
在过去,给智能灯泡、门锁等 IoT 设备配网往往需要扫描二维码或输入长密码,过程繁琐且存在安全风险(如密码被旁路截获),Easy Connect 允许通过手机或其他已信任设备,安全地扫描设备二维码或 NFC 标签,将网络凭证安全地传输给 IoT 设备,这种方式显著降低了凭证泄露的风险。
更细粒度的控制和监控
WiFi 6 标准本身并未直接定义,但支持 WiFi 6 的硬件和操作系统(如 Wi-Fi 6 的 MU-MIMO 和 OFDMA 技术)使得路由器可以:
- 精确识别每个客户端流: 路由器和网络管理员可以更精确地识别每个设备的具体网络流量,从而实施更细致的访问控制策略(如禁止某个 IoT 设备访问关键服务器)。
- 更好的恶意流量检测: 由于可以区分不同设备的数据流,入侵检测/防御系统(IDS/IPS)可以更有效地识别异常行为。
总结对比
| 特性 | WiFi 5 (802.11ac) | WiFi 6 (802.11ax) | 安全提升 |
|---|---|---|---|
| 核心标准 | 默认 WPA2,WPA3 可选 | 强制支持 WPA3 | 从“可推荐”变为“安全基线” |
| 密码破解 | 容易受 KRACK、离线字典攻击 | SAE 握手,抗离线暴力破解 | 密码安全性大幅提升 |
| 公共 Wi-Fi | 连接不安全,易被窃听 | OWE 加密,自动加密数据 | 告别明文传输,保护公共网络 |
| IoT 设备配网 | 手动输入密码,易泄露 | Easy Connect (DPP),安全推送凭证 | 杜绝凭证中途窃取风险 |
| 历史数据保护 | 无前向安全性 | 前向安全性 | 即使未来密码泄露,过去的数据也安全 |
重要提醒
虽然 WiFi 6 带来了上述安全提升,但最关键的瓶颈往往不在标准,而在用户的配置习惯,即使是最先进的 WiFi 6 路由器,
- 你仍然使用默认管理密码(admin/admin)
- 禁用了 WPA3 或回退到 WPA2 (为了兼容老设备)
- 没有及时更新路由器固件(固件漏洞可能绕过一切加密)
- 使用极其简单或默认的 Wi-Fi 密码
这些安全提升的价值就会大打折扣。购买一个支持 WPA3 的 WiFi 6 路由器,并正确配置它(启用 WPA3,使用强密码,及时更新固件),才能真正享受到这些安全提升。