Segurança Wi-Fi: Devo usar WPA, WPA2-AES, WPA2-TKIP, ou tudo junto?

Os roteadores atuais trazem diferentes opções de segurança:

WPA2-PSK (TKIP), WPA2-PSK (AES) e WPA2-PSK (TKIP/AES).

Escolha a opção errada, e você vai ter uma conexão mais lenta e menos segura.

A última opção — usar TKIP e AES juntos — acaba sendo o padrão na maioria dos roteadores, porque parece que juntar todas as regras torna a rede mais segura.

Esta é uma má escolha mas, para entender as opções, você precisa entender um pouco dos padrões de criptografia em redes sem fio.

AES ou TKIP

TKIP e AES são dois tipos diferentes de criptografia que podem ser usados em uma rede Wi-Fi. TKIP é uma sigla em inglês (Temporal Key Integrity Protocol), e foi um protocolo de criptografia introduzido com a chegada do WPA, para substituir o protocolo WEP, que já havia se tornado muito inseguro.

O TKIP é até bem similar ao WEP, por isto já é considerado ultrapassado e sem segurança adequada. Em outras palavras: evite usar TKIP em sua rede sem fio.

AES significa “Advanced Encryption Standard”, um protocolo mais seguro introduzido com a chegada do padrão WPA2, que substituiu o WPA. O AES não é apenas mais um padrão desenvolvido especificamente para redes Wi-Fi; é um padrão mundial de criptografia adotado até pelo governo dos Estados Unidos.

O código “PSK” em ambos os nomes quer dizer “pre-shared key”, ou seja, sua senha criptografada.

WPA usa TKIP e WPA2 usa AES, mas…

Em resumo:

• TKIP é um protocolo de criptografia mais antigo, usado pelo velho padrão WPA.
• AES é uma solução de criptografia Wi-Fi mais nova, usada pelo novo e seguro padrão WPA2.

Na teoria, isto é tudo. Mas, dependendo de seu roteador, apenas escolher WPA2 pode não ser suficiente.

Ao passo que o WPA2 foi projetado para ser usado com AES e melhorar a segurança, ele também dá a opção de usar TKIP para maior compatibilidade com dispositivos antigos. Assim, aparelhos com suporte ao WPA2 se conectam com WPA2 e aparelhos que suportam WPA se conectam com WPA. Por esta razão, “WPA2” não quer dizer sempre WPA2-AES. De qualquer forma, em dispositivos que não exibem opção entre “TKIP” ou “AES”, WPA2 é geralmente sinônimo de WPA2-AES.

Entenda os modos de segurança Wi-Fi

Se você não sabe qual a melhor opção de segurança a escolher, dê mais uma olhada na lista que os roteadores apresentam:

• Open ou Aberta (arriscado): Redes Wi-Fi abertas não pedem senha. Você nunca deve configurar uma rede Wi-Fi aberta. Mesmo que seja para oferecer uma rede sem fio para várias pessoas
• WEP 64 (arriscado): A velha criptografia WEP é vulnerável e também não deve mais ser usada. Seu nome, “Wired Equivalent Privacy” (algo como equivalente a uma rede com fio) hoje parece mais uma piada.
• WEP 128 (arriscado): WEP com chave de criptogtafia maior não ajuda muito…
• WPA-PSK (TKIP): É basicamente o padrão de criptografia WPA, ou WPA1. Já está ultrapassado e inseguro.
• WPA-PSK (AES): Aqui a escolha é o protocolo wireless WPA com criptografia AES mais moderna. Aparelhos com suporte ao AES quase sempre suportam WPA2, e dispositivos que requerem WPA1 quase nunca têm suporte à criptografia AES. Como pode ver, esta opção não faz muito sentido.
• WPA2-PSK (TKIP): Esta combinação usa o padrão moderno WPA2 com criptografia antiga TKIP. Não é segura, e só é uma boa ideia se você tiver aparelhos mais antigos que não se conectam à rede WPA2-PSK (AES).
• WPA2-PSK (AES): Esta sim é a opção mais segura. Ela usa WPA2 (o padrão de criptografia Wi-Fi mais atual) junto com o protocolo mais moderno, AES. Você deve usar esta opção. Em roteadores com interface mais simples, a opção marcada como “WPA2” ou “WPA2-PSK” já deve vir associada com AES.
• WPA/WPA2-PSK (TKIP/AES) (recomendado): Esta é uma opção que engloba todas as possibilidades e dispositivos. Ela vai habilitar o WPA e o WPA2 com TKIP e AES. Haverá máxima compatibilidade com aparelhos antigos, mas também significa que um ataque de hacker pode invadir sua rede, já que você terá aparelhos mais velhos (e menos seguros) envolvidos na rede. Esta opção TKIP+AES ainda pode ser chamada de modo “misto” WPA2-PSK.

Dispositivos fabricados após 2006 têm suporte ao AES

A certificação WPA2 ficou disponível em 2004. Em 2006, o WPA2 se tornou obrigatório. Qualquer aparelho fabricado a partir de 2006, que tenha um logo “Wi-Fi”, deve dar suporte à criptografia WPA2.

Seus aparelhos com Wi-Fi provavelmente têm menos de 8 a 10 anos de uso, então escolha WPA2-PSK (AES) e tudo vai ficar bem.

Se não tiver certeza quanto à antiguidade de algum dispositivo, selecione esta opção e veja se algum aparelho não funciona. Se o aparelho parar de se conectar, volte à configuração anterior (e planeje comprar um dispositivo mais recente).

WPA e TKIP deixam seu Wi-Fi mais lento

As opções de compatibilidade WPA e TKIP podem tornar mais lenta a sua rede sem fio. Muitos roteadores Wi-Fi modernos, com suporte a redes rápidas como a 802.11n, despencam a uma velocidade de 54mbps se você habilitar WPA ou TKIP. Eles fazem isto para se tornarem compatíveis com dispositivos mais antigos. (Percebe como um aparelho velho prejudica sua rede sem fio?)

Em termos de comparação: as redes 802.11n suportam velocidades de até 300mbps — mas apenas se você estiver usando WPA2 com AES. Teoricamente, uma rede 802.11ac oferece velocidade máxima de 3.46 Gbps, sob perfeitas condições.

WPA e TKIP transformam uma rede Wi-Fi moderna numa carroça.

Resumindo

Na maioria dos roteadores, as opções são geralmente WEP, WPA (TKIP) e WPA2 (AES) — com talvez um modo de compatibilidade WPA (TKIP) + WPA2 (AES).

Se você tiver um roteador que ofereça WPA2 com opções TKIP ou AES, escolha AES.

Seus dispositivos vão certamente funcionar com esta opção, além de terem uma conexão mais rápida e mais segura. Então já sabe: AES é a melhor opção.