WPA (Wi-Fi Protected Access) bezeichnet den 2003 verabschiedeten **Nachfolgestandard von [[wep|WEP]] zur [[kryptographie|Verschlüsselung]] und Authentifizierung im WLAN**. WPA sollte die bekannt gewordenen Sicherheitslücken und Schwachstellen von WEP beseitigen und wieder für Sicherheit in Funknetzwerken sorgen. Der Nachfolger von WPA ist [[wpa2|WPA2]]. Wie WEP gilt auch WPA heute als nicht mehr ausreichend sicher und sollte für drahtlose Netzwerke nicht mehr verwendet werden. Ein wesentlicher **Unterschied zu WEP ist die Verwendung von TKIP** (Temporal Key Integrity Protocol) zur Verschlüsselung. TKIP basiert auf dem RC4-Algorithmus, setzt aber eine **verbesserte Schlüsselberechnung mit neuen Schlüsseln für jedes Datenpaket** ein. Der Initialisierungsvektor ist jetzt nicht mehr nur 24 Bit, sondern 48 Bit lang. Zudem kommen Methoden wie Per-Packet-Key-Mixing, Re-Keying und Message Integrity Check (MIC) zum Einsatz. =====Authentifizierung===== * PSK (pre shared key) * EAP (Extensible authentication protocol) Mit WPA ist die **Authentifizierung sowohl per PSK als auch per EAP über einen zentralen Authentifizierungsserver wie einen [[radius|Radius-Server]] möglich**. EAP kommt hauptsächlich in großen professionellen WLAN-Installationen zum Einsatz. Private WLANs oder kleinere drahtlose Netzwerke nutzen in der Regel einen allen Teilnehmern bekannt zu machenden Pre-shared Key. =====Schwachstellen===== ====Brute Force==== Die Sicherheit in einem WPA-geschützten WLAN ist wesentlich von der Qualität des gewählten Passworts (Pre-shared Keys) abhängig. Um diese Schwachstelle auszunutzen, muss ein Angreifer lediglich einen Anmeldevorgang aufzeichnen. Anschließend können per Brute-Force-Methode oder Wörterbuchangriff so lange Pre-shared Keys probiert werden, bis einer der generierten Schlüssel der richtige ist. ====WPS==== Eine weitere Schwachstelle ist die gemeinsame Verwendung von WPA und WPS (Wi-Fi Protected Setup). WPS vereinfacht die Einrichtung eines WLANs, indem es den erstmaligen Anmeldevorgang eines WLAN-Clients erleichtert. Wi-Fi Protected Setup ist noch anfälliger gegen Brute-Force-Attacken. Es wird daher empfohlen, WPS an Accesspoints und WLAN-Routern zu deaktivieren.