WPA2 an toàn hơn người tiền nhiệm, WPA (Truy cập được bảo vệ Wi-Fi), và nên được sử dụng bất cứ khi nào có thể. Bộ định tuyến không dây hỗ trợ nhiều giao thức bảo mật để bảo mật mạng không dây, bao gồm
Nếu bộ định tuyến không được bảo mật, ai đó có thể đánh cắp băng thông internet của bạn, thực hiện các hoạt động bất hợp pháp thông qua kết nối của bạn (và do đó trong tên của bạn), giám sát hoạt động internet của bạn và cài đặt phần mềm độc hại trên mạng của bạn. WPA và WPA2 có nghĩa là bảo vệ các mạng internet không dây khỏi sự nghịch ngợm đó bằng cách bảo vệ mạng khỏi sự truy cập trái phép.
WEP và WPA sử dụng RC4, một thuật toán mã hóa dòng phần mềm dễ bị tấn công. Nhờ sử dụng RC4 của WEP, kích thước khóa nhỏ và quản lý khóa kém, phần mềm bẻ khóa có thể vượt qua bảo mật WEP trong vòng vài phút.
WPA được phát triển như một giải pháp tạm thời cho nhiều thiếu sót của WEP. Tuy nhiên, WPA vẫn dễ bị tổn thương vì nó dựa trên mật mã dòng RC4; sự khác biệt chính giữa WEP và WPA là WPA bổ sung một giao thức bảo mật bổ sung cho mật mã RC4 được gọi là TKIP. Nhưng bản thân RC4 có vấn đề đến nỗi Microsoft đã thúc giục người dùng và các công ty vô hiệu hóa nó khi có thể và tung ra bản cập nhật vào tháng 11 năm 2013 đã loại bỏ RC4 khỏi Windows hoàn toàn.
Không giống như những người tiền nhiệm của nó, WPA2 sử dụng Tiêu chuẩn mã hóa nâng cao (AES) và CCMP, một sự thay thế TKIP. Không có thiết bị hoặc hệ điều hành nào được cập nhật trước năm 2004 có thể đáp ứng các tiêu chuẩn bảo mật này. Kể từ tháng 3 năm 2006, không có phần cứng hoặc thiết bị mới nào có thể sử dụng nhãn hiệu Wi-Fi mà không nhận ra chương trình chứng nhận WPA2.
AES an toàn đến mức có khả năng phải mất hàng triệu năm cho một cuộc tấn công vũ phu của siêu máy tính để phá vỡ mã hóa của nó. Tuy nhiên, có suy đoán, một phần dựa trên các tài liệu của Cơ quan An ninh Quốc gia (NSA) bị rò rỉ của Edward Snowden, rằng AES có ít nhất một điểm yếu: một cửa hậu có thể được xây dựng có chủ ý trong thiết kế của nó. Về mặt lý thuyết, một cửa hậu sẽ cho phép chính phủ Hoa Kỳ truy cập vào mạng dễ dàng hơn. Với mã hóa AES đóng vai trò là xương sống của bảo mật WPA2 và nhiều biện pháp bảo mật khác cho internet, sự tồn tại tiềm năng của một cửa hậu là nguyên nhân gây lo ngại lớn.
Các biện pháp bảo mật có thể làm giảm tốc độ dữ liệu hoặc thông lượng, bạn có thể đạt được trong mạng cục bộ của mình. Tuy nhiên, giao thức bảo mật bạn chọn có thể thay đổi đáng kể trải nghiệm của bạn. WPA2 là giao thức bảo mật nhanh nhất, trong khi WEP là chậm nhất. Video dưới đây là một loạt các bài kiểm tra hiệu suất thể hiện thông lượng khác nhau mà mỗi giao thức bảo mật có thể đạt được.
Các bộ định tuyến không dây thường cung cấp hai dạng WPA2: "Cá nhân" và "Doanh nghiệp". Hầu hết các mạng gia đình chỉ có nhu cầu cho các thiết lập cá nhân. Video dưới đây mô tả sự khác biệt kỹ thuật hơn giữa hai chế độ này.
Video sau đây giải thích ngắn gọn cách chọn giao thức bảo mật trong cài đặt của bộ định tuyến Linksys.
Mặc dù WPA2 vượt trội so với WPA và vượt trội hơn nhiều so với WEP, bảo mật của bộ định tuyến của bạn cuối cùng có thể phụ thuộc vào việc bạn có sử dụng mật khẩu mạnh để bảo mật hay không. Video này giải thích cách tạo mật khẩu mạnh, dễ nhớ.
Bạn cũng có thể tạo một mật khẩu ngẫu nhiên. Các trình tạo mật khẩu như Norton Password Generator và Yellowpipe Encrypt Key Generator tạo ra một chuỗi ký tự ngẫu nhiên với sự pha trộn giữa viết hoa, số, dấu chấm câu, v.v ... Đây là những mật khẩu an toàn nhất, đặc biệt là khi chúng dài hơn và bao gồm các ký tự đặc biệt, nhưng chúng không phải là dễ nhớ.
Vào năm 2011, các nhà nghiên cứu từ Bộ An ninh Nội địa Hoa Kỳ đã phát hành một công cụ nguồn mở có tên Reaver đã chứng minh lỗ hổng trong các bộ định tuyến sử dụng Wi-Fi Protected Setup, hoặc WPS, một tiêu chuẩn được sử dụng để giúp thiết lập bộ định tuyến dễ dàng hơn cho người dùng trung bình. Lỗ hổng này có thể cho phép những kẻ tấn công vũ phu có quyền truy cập vào mật khẩu mạng, bất kể sử dụng WPA hay WPA2.
Nếu bộ định tuyến của bạn sử dụng WPS (không phải tất cả), bạn nên tắt tính năng này trong cài đặt nếu bạn có thể làm như vậy. Tuy nhiên, đây không phải là một giải pháp hoàn chỉnh, vì Reaver đã có thể bẻ khóa bảo mật mạng trên các bộ định tuyến bằng tính năng WPS, ngay cả khi nó bị tắt. Giải pháp tốt nhất, an toàn nhất là sử dụng bộ định tuyến có mã hóa WPA2 và không có tính năng WPS.