O Wi-Fi Protected Access (WPA) é um padrão de segurança desenvolvido pela Wi-Fi Alliance, uma organização que promove a tecnologia sem fio. A segurança Wi-Fi define o tipo de autenticação e criptografia utilizada pelo roteador para proteger a privacidade dos dados transmitidos.
À medida que a dependência de dispositivos conectados cresce (com mais dispositivos IoT do que humanos na Terra), a segurança das redes, incluindo as residenciais e comerciais, tornou-se criticamente importante, especialmente considerando a vulnerabilidade de protocolos mais antigos. A evolução dos protocolos segue uma ordem crescente de segurança, partindo do WEP (obsoleto) até o WPA3 (o mais robusto).
O WEP foi o primeiro padrão de criptografia lançado em 1997, cujo nome se traduz como "privacidade equivalente às redes cabeadas".
O WEP utiliza um algoritmo de criptografia de chave simétrica (RC4) para codificar as informações. A chave de segurança para criptografia pode ter até 152 bits. O WEP requer que as senhas tenham um tamanho fixo (10, 26 ou 32 dígitos hexadecimais).
O WEP é amplamente desaconselhado e considerado obsoleto pela Wi-Fi Alliance.
Fragilidade: Possui o nível de segurança Fraca. Utilizá-lo é comparável a deixar a rede aberta.
Quebra por Força Bruta: O WEP apresenta falhas devido ao tamanho curto da chave de criptografia e ao algoritmo fraco, o que facilita sua quebra através de ataques de força bruta ou criptoanálise.
Risco: Redes que usam WEP (incluindo WEP Aberto, WEP Compartilhado ou WEP Dinâmico) não são seguras, reduzem a confiabilidade e fazem com que o dispositivo exiba um aviso de segurança.
O WPA (Acesso Protegido ao Wi-Fi) foi lançado em 2002 para substituir o WEP, oferecendo um protocolo mais seguro.
O WPA trouxe um nível de segurança Média.
Criptografia: Utiliza o protocolo TKIP (Temporal Key Integrity Protocol). O TKIP usa chaves de criptografia de 128 bits para cada pacote transmitido.
Autenticação Flexível: Introduziu a autenticação PSK (Pre-Shared Key), permitindo senhas mais flexíveis, com tamanho de 8 a 64 caracteres e a possibilidade de usar caracteres não-hexadecimais.
O WPA2, certificado em 2004, é a segunda geração do protocolo WPA e, por um longo período, foi o modelo de criptografia mais amplamente utilizado. Ele elevou o nível de segurança para Alta.
O WPA2 utiliza a criptografia AES (Advanced Encryption Standard) e o protocolo de modo CCMP. O AES utiliza chaves de até 256 bits e chaves iguais para criptografar e descriptografar dados.
Para uso empresarial, o WPA2-Enterprise utiliza o protocolo EAP (Extensible Authentication Protocol), que requer autenticação avançada (usuário e senha) controlada por um servidor (RADIUS).
EXCEÇÃO E TÓPICO DE ALTA COBRANÇA EM CONCURSOS PÚBLICOS: Apesar de ser considerado seguro, o WPA2 demonstrou uma vulnerabilidade grave conhecida como KRACK.
Natureza do Ataque: O KRACK (Key Reinstallation Attacks) explora uma fraqueza no processo de negociação de chaves, especificamente no 4-way handshake do WPA2, que protege todas as redes Wi-Fi modernas.
Consequências: Ao reinstalar as chaves, o invasor pode ter acesso a informações anteriormente seguras e criptografadas. O ataque permite que o invasor descriptografe dados importantes, como senhas e cookies, sem precisar se conectar diretamente à rede.
Abrangência: Esta vulnerabilidade afeta praticamente todos os dispositivos que suportam conexão Wi-Fi.
Prevenção: A proteção contra o KRACK se dá através da atualização do firmware e dos drivers dos dispositivos e roteadores, visto que a falha está no protocolo em si, e não apenas em dispositivos específicos.
O WPA3 é o protocolo de criptografia Wi-Fi de última geração, lançado pela Wi-Fi Alliance em 2018, projetado para aprimorar o WPA2 e fornecer proteção de criptografia mais robusta. Ele oferece o nível de segurança Altíssima.
Resposta: O WPA3 Pessoal é o protocolo mais novo e mais seguro que existe atualmente. Ele é a escolha ideal para uma rede Wi-Fi, oferecendo o melhor nível de proteção contra invasores e ataques.
O WPA3 traz melhorias significativas:
Proteção contra Ataques de Força Bruta via SAE:
O WPA3 substitui o mecanismo de chave pré-compartilhada (PSK) do WPA2-Personal pela Autenticação Simultânea de Iguais (SAE).
O SAE utiliza algoritmos mais fortes e métodos mais seguros de troca de chaves, prevenindo ataques de dicionário offline e tentativas de adivinhação de senhas, mesmo que as senhas sejam mais fracas do que o ideal. O hacker é forçado a interagir com o dispositivo conectado a cada tentativa, dificultando o ataque.
Sigilo de Encaminhamento (Forward Secrecy):
Este recurso garante que, mesmo que um invasor comprometa a chave de criptografia atual, ele não poderá descriptografar dados transmitidos anteriormente. Isso é crucial para a segurança de dados mais antigos.
Criptografia Mais Forte (Enterprise):
Para ambientes corporativos, o WPA3-Enterprise eleva a segurança, introduzindo o pacote de segurança Suite-B de 192 bits. Isso é ideal para organizações que lidam com dados altamente confidenciais, como informações financeiras ou governamentais. O WPA3-Enterprise adota o algoritmo HMAC-SHA-384, mais seguro, para exportação e confirmação de chaves.
Proteção em Redes Abertas com OWE:
O WPA3 introduziu a certificação Opportunistic Wireless Encryption (OWE), também conhecida como Enhanced Open.
O OWE (que faz criptografia, mas não autenticação) garante que, ao se conectar a um hotspot público (redes que não exigem senha), a comunicação seja protegida.
Ele fornece "criptografia de dados individualizada", garantindo que o tráfego de dados entre o cliente e o ponto de acesso seja criptografado com uma chave exclusiva, prevenindo ataques passivos e os ataques Man-in-the-Middle (MiTM) mais comuns.
Conexão Simplificada e Segura (Easy Connect):
O WPA3 introduz o Easy Connect™ (ou DPP), um recurso opcional que facilita a adição segura de dispositivos IoT (sem telas, como assistentes virtuais) à rede, muitas vezes utilizando um código QR para autenticação.
A adoção do WPA3 é gradual.
Compatibilidade: Dispositivos mais antigos (celulares, TVs, etc.) podem não suportar o WPA3.
Modo de Transição: Para garantir a conectividade com dispositivos mais antigos, recomenda-se configurar o roteador para WPA2/WPA3 Transitório (ou Misto). Este modo usa WPA3 Pessoal com dispositivos compatíveis e permite que os mais antigos utilizem WPA2 Pessoal (AES).
WPS e WPA3: O WPA3 não suporta o Wi-Fi Protected Setup (WPS).
Vulnerabilidades de Implementação: Pesquisadores encontraram uma vulnerabilidade no processo de handshake Dragonfly (parte do SAE) que pode permitir ataques de bypass. Além disso, os invasores podem explorar a compatibilidade forçando downgrade para o menos seguro WPA2.
Para garantir o melhor desempenho, segurança e confiabilidade, é crucial aplicar ajustes consistentes em todos os pontos de acesso e em todas as bandas do roteador.
Protocolo | Tipo de Segurança | Recomendação Atual (2025) | Justificativa |
WPA3 Pessoal | Altíssima | Definir como preferencial. | Protocolo mais seguro; deve ser usado sempre que todos os dispositivos forem compatíveis. |
WPA2/WPA3 Transitório | Alta/Altíssima | Recomendado para redes mistas. | Permite que dispositivos mais antigos usem WPA2 (AES) e os novos usem WPA3. |
WPA2 Pessoal (AES) | Alta | Aceitável se WPA3 não for possível. | Deve ser escolhido como fallback mais seguro que os protocolos antigos. |
WPA, WEP, TKIP | Fraca/Média | Devem ser evitados. | Protocolos obsoletos, não seguros, e reduzem a confiabilidade/desempenho. |
Atualizações Automáticas de Firmware: Configure o roteador para instalar automaticamente as atualizações de software e firmware. Isso garante melhorias críticas de segurança (proteção contra KRACK, por exemplo), estabilidade e desempenho.
Altere a Senha Padrão: A primeira ação em qualquer nova instalação é alterar a senha padrão do administrador do roteador.
Senhas Fortes: Use senhas "fortes" (complexas, misturando letras maiúsculas/minúsculas, números e caracteres) para o administrador e todas as outras contas (VoIP, usuários, Wi-Fi). Não use a mesma senha em mais de um roteador ou serviço.
Use Conexões Seguras: Para administração do roteador, use sempre SSL/SSH (https://) em vez de acesso simples não criptografado, especialmente em conexões públicas. Para acesso remoto, utilize uma VPN.
Brute Force Protection: Habilite a proteção contra força bruta para bloquear endereços IP que tentem conectar e falhem ao fornecer credenciais válidas após um número especificado de vezes.
Desativar Gerenciamento Remoto: Não habilite o gerenciamento remoto, TR-069 ou SNMP se não for essencial, e desative-o após o uso temporário.
Autenticação de Dois Fatores (2FA): Considere habilitar 2FA (senha + outro fator, como um PIN gerado por smartphone) para qualquer acesso remoto ou móvel, aumentando significativamente a segurança.
Nome da Rede (SSID): Defina um nome único e exclusivo para todas as bandas (2,4 GHz, 5 GHz, 6 GHz). Evite nomes comuns ou padrão (ex: netgear) para evitar que dispositivos se conectem automaticamente a redes impostoras.
Rede Oculta (Hidden SSID): Defina como Desativado. Ocultar o nome da rede não impede sua detecção e não a protege contra acesso não autorizado. Isso pode, inclusive, expor informações que podem ser usadas para identificar você.
Filtragem de Endereço MAC: Defina como Desativado. Este recurso é ineficaz para impedir acesso não autorizado, pois endereços MAC podem ser facilmente copiados, falsificados ou alterados.
Rede de Convidados e VLANs: Crie uma rede de convidados isolada, separada da rede privada/corporativa, utilizando VLANs.
Isolamento de Membros (Dispositivo para Dispositivo): Habilite o recurso Isolate Member (em algumas marcas), especialmente na rede de convidados, para impedir que os dispositivos conectados se comuniquem entre si.
DHCP: Deve estar Ativado se o roteador for o único servidor DHCP na rede. Múltiplos DHCPs podem causar conflitos de endereço IP.
WMM (Wi-Fi Multimedia): Deve estar Ativado. O WMM prioriza o tráfego de rede para melhorar o desempenho de aplicativos como vídeo e voz.
Modo Rádio e Bandas: Defina o Modo Rádio como Tudo (preferencial) ou Wi-Fi 2 a Wi-Fi 6 ou posterior, para garantir a compatibilidade e o melhor desempenho para todos os dispositivos. Ative todas as bandas disponíveis (2,4 GHz, 5 GHz, 6 GHz).
Canal: Defina como Automático. O roteador selecionará o melhor canal Wi-Fi, reduzindo a interferência.
Largura do Canal: Defina como 20 MHz para a banda de 2,4 GHz para evitar problemas de desempenho e confiabilidade. Defina como Automático ou todas as larguras para as bandas de 5 GHz e 6 GHz.
Servidor DNS: Use o servidor DNS padrão do ISP ou especifique um servidor confiável (como Google). Um aviso sobre DNS criptografado pode aparecer se a rede estiver bloqueando o tráfego DNS criptografado.
A Segurança por Obscuridade (SBO) não é considerada segurança por si só, mas pode reduzir as chances de ataques automatizados. Exemplos de SBO incluem desabilitar o DHCP ou ocultar o SSID (embora ocultar o SSID seja desaconselhado pela Apple devido a riscos de privacidade). Alterar o range de IPs padrão do roteador para fora da sub-rede 192.168.1.0 comum também pode retardar ataques codificados para essa faixa.
Foco em Concursos/Empresas: O protocolo Tor (The Onion Router) é um serviço de anonimato que retransmite o tráfego da Internet por meio de vários retransmissores aleatórios para ocultar o endereço IP de origem. O Tor é usado para acessar a Dark Web, associada a atividades criminosas (venda de dados roubados, hacking).
Como os pacotes Tor se parecem com o tráfego HTTPS/TLS padrão, eles não são facilmente identificados. Isso permite que usuários contornem filtros de conteúdo.
Melhor Prática: Sua AUP (Acceptable Use Policy) deve proibir especificamente a instalação ou uso do Tor. Em redes corporativas, é possível identificar e aplicar regras de firewall para filtrar os destinos de nós de saída Tor.
O Ransomware é um tipo de vírus que criptografa todos os dados de um sistema, exigindo pagamento (geralmente em criptomoeda) para o desbloqueio.
Para se proteger:
Prevenção de Infecção: Além do antivírus atualizado e patches de segurança, use filtros de conteúdo para bloquear sites comprometidos.
Backups Offline: Se o pior acontecer, a única defesa garantida é o backup. Seus backups precisam ser regulares, recentes e offline (não armazenados em um dispositivo que seu PC infectado possa acessar), caso contrário, o ransomware pode criptografá-los também.
Ao usar Wi-Fi público (cafeterias, aeroportos):
Verificação: Sempre verifique a qual rede você está se conectando para evitar armadilhas (redes impostoras, ou Evil Twin Attacks).
VPNs: Use métodos criptografados (SSL, HTTPS, VPNs) para todos os dados confidenciais. Mesmo que a rede use WPA3, o proprietário (que sabe a chave) e outros usuários podem capturar o tráfego. Recomenda-se criar uma VPN de volta para o roteador de sua casa/escritório ou usar um serviço de VPN público para criptografar todo o seu tráfego.
Característica | WEP | WPA | WPA2 | WPA3 |
Lançamento | 1997 | 2002 | 2004 | 2018 |
Nível de Segurança | Fraca | Média | Alta | Altíssima |
Criptografia | RC4 | TKIP | AES (CCMP) | AES 256 bits (Pessoal); 192 bits (Enterprise) |
Autenticação Pessoal | CRC | PSK | PSK | SAE (Simultaneous Authentication of Equals) |
Proteção Contra Força Bruta | Fraca | Média | Média/Fraca (Vulnerável ao KRACK) | Excelente |
Compatibilidade | Baixa (Obsoleto) | Alta | Alta | Baixa/Média (Crescendo) |
Recomendação | NÃO USE | NÃO USE | Use em modo de transição/fallback | USE (Preferencial) |