AES или TKIP: какой метод проверки подлинности лучше?

Привет! Заходишь ты такой в настройки своего роутера, а в разделе безопасности беспроводной сети сталкиваешься с первой серьезной и непонятной проблемой – TKIP или AES? Что выбрать пока не понятно, да и практических советов на эту тему нет, ибо все мануалы по настройкам шифрования написаны специалистами для специалистов. Что делать? WiFiGid и Ботан помогут разобраться!

Остались вопросы? Добро пожаловать в наши горячие комментарии с приятным сообществом!

Краткий ответ

Тем, кто не хочет терять своего времени, лучший вариант:

WPA2 – AES

А если в списке есть не только WPA2, но и режим «WPA2/WPA3» (иногда пишут «Transition» или «Mixed») – я обычно выбираю его. Так вы получите максимальную защиту для новых устройств, а старые гаджеты, которые еще не дружат с WPA3, продолжат подключаться по WPA2. Если же после включения смешанного режима какие-то древние устройства начинают капризничать (часто это умные лампочки, старые приставки, принтеры), просто возвращайтесь на «WPA2 – AES» и живите спокойно.

Если коротко: для дома выбираем «WPA2-PSK (Personal)» или «WPA2/WPA3», а в шифровании ставим «AES» (иногда он подписан как «CCMP»). И еще – отключаем WPS и задаем длинный пароль, тогда к сети будет намного сложнее «постучаться» со стороны. Более подробно как поставить надежный пароль на Wi-Fi и почему WPS лучше не трогать.

Для тех, кому важно узнать почему да как это все было определено, предлагаю ознакомиться со статьей.

Про аутентификацию

Wi-Fi без защиты в наше время похож на находки якутскими учеными мамонтов – зверь вымер, но раз в год находки всплывают. Это к тому, что любую домашнюю сеть в наше время принято защищать любым типом аутентификации. А какие они есть?

• WEP (Wired Equivalent Privacy) – устаревший стандарт, современный брут паролей взламывает его легко.
• WPA (Wi-Fi Protected Access) – промежуточный вариант, который появился как «заплатка» после WEP. В быту его лучше не использовать, особенно если рядом можно включить WPA2.
• WPA2 – самый используемый тип, как правило сейчас у всех стоит именно он.
• WPA3 – более новый стандарт. В идеале включать WPA3 или смешанный режим WPA2/WPA3, но если его нет – WPA2 с AES и длинным паролем по-прежнему остается нормальной защитой для дома.

Здесь важный момент, который часто путают: аутентификация – это «как мы пускаем устройство в сеть», а шифрование – это «как мы прячем данные в эфире». Поэтому в настройках роутера обычно две строки: «Тип безопасности (WPA2/WPA3)» и отдельно «Шифрование (AES/TKIP)». И еще – не ведитесь на мысль «пароль минимум 8 символов и хватит»: минимум – это просто технический порог. На практике я советую делать пароль хотя бы 12-16 символов, с буквами разного регистра и цифрами, чтобы не было словарных совпадений.

Поленились поставить пароль? Толпа довольных соседей с радостью пожалует в ваше сетевое пространство. Будьте с ними гостеприимны, ведь сами пригласили)

Кстати, если вы раньше подключались к сети через WPS (кнопка на роутере или PIN-код), лучше сразу перепроверить безопасность. WPS удобен, но именно из-за удобства его часто рекомендуют отключать, а пароль – задавать вручную. Если хотите разобраться без лишней теории, вот полезный материал про WPS PIN – там хорошо объясняется, почему эта функция может быть слабым местом.

Что касается современных WPA – то и здесь есть деление:

• WPA/WPA2 Personal – рекомендуется для домашнего использования. Задали пароль, пользуемся.
• WPA/WPA2 Enterprise – расширенная версия. Подъем Radius сервера, выдача отдельного ключа для каждого подключенного устройства. На практике домашнего использования достаточно и Personal версии.

Если у вас дома все просто (квартира, частный дом, пара ноутбуков и телефонов), Personal – это именно то, что нужно. Enterprise имеет смысл в офисе, где хочется выдавать доступ каждому сотруднику отдельно, а потом быстро «отзывать» его одним кликом. В быту такое редко требуется, зато добавляет лишней головной боли.

Мой выбор:

Про шифрование

Но, кроме этого, есть еще и сам алгоритм шифрования, который не дает прослушивать всем желающим со стороны вашу домашнюю сеть (точнее дает, но при этом там отображается откровенная шифрованная белеберда). Сейчас распространены 2 типа шифрования:

1. TKIP – ныне устаревший стандарт. Но в силу того, что некоторые старые устройства поддерживают только его, используется как альтернатива. Важно понимать, что при включенном TKIP многие роутеры режут «современные» режимы Wi-Fi и включают совместимость, из-за чего скорость падает и растут задержки. По сути дела, выпускался как патч для дырявого WEP.
2. AES – актуальный и самый распространенный вариант шифрования для домашнего Wi-Fi. Он используется в связке с WPA2 (CCMP/AES) и WPA3, поэтому поддерживается всеми современными стандартами Wi-Fi. В некоторых меню вместо слова AES вы увидите «CCMP» – не пугайтесь, это и есть нормальный вариант «AES для Wi-Fi».

Частая ситуация: вы включили TKIP ради одного старого гаджета, а потом удивляетесь, почему интернет «как в прошлом веке». Обычно в этот момент роутер переключается на более старый режим работы (вплоть до уровня 802.11g), и вся сеть начинает жить по правилам совместимости. Если вам важно, чтобы Wi-Fi был быстрым, лучше оставить чистый AES и подумать, не проще ли обновить проблемное устройство. Более подробно про стандарт Wi-Fi 802.11n и почему шифрование влияет на режимы работы.

Еще один нюанс – современные роутеры могут показывать не только «AES», но и варианты вроде «GCMP». Это уже детали реализации, и для обычного домашнего пользователя главное правило не меняется: выбирайте самое современное из доступного и избегайте TKIP, если в этом нет прямой необходимости. А если есть сомнения, то ставьте «Auto» только как временную проверку, чтобы понять, кто именно у вас «не любит» AES.

Итого, мои настройки:

На сегодняшний день для большинства людей лучше связки WPA2 и AES не найти. Владельцам же роутеров последнего поколения рекомендую включать WPA3 или режим WPA2/WPA3, если он есть.

Исключение – ваши старые устройства отказываются работать с AES. В этом, и только в этом случае можно попробовать активировать TKIP. Как альтернатива – доступен обычно метод АВТО (TKIP+AES), который помогает выявить «проблемный» гаджет. Но на постоянку лучше использовать чистый AES, а старое устройство подключить через отдельную гостевую сеть или заменить.

Важно: при принудительной установке TKIP ради совместимости сеть может перейти в режим «для старичков», из-за чего скорость Wi-Fi часто ограничивается уровнем около 54 Мбит/с и исчезают плюсы 802.11n/ac/ax. Это не «поломка интернета», а ожидаемое поведение – роутер старается угодить устройству, которое умеет только старую защиту. В этом плане чистый WPA (без WPA2) и TKIP – почти всегда медленно.

И раз уж мы говорим про безопасность, добавлю еще пару практических советов, которые реально помогают, а не выглядят как «страшилки». Во-первых, обновляйте прошивку роутера – это закрывает найденные уязвимости и улучшает совместимость, особенно с новыми смартфонами и ноутбуками. Во-вторых, не ставьте пароль типа «12345678» или «qwerty123» – это первое, что пробуют при подборе. Если забыли пароль или подозреваете, что его могли подсмотреть, проще всего сменить его и переподключить устройства, а при необходимости можно сбросить или восстановить пароль Wi-Fi.

Выбор на разных роутерах

Ну а здесь я покажу, какие настройки нужно активировать на разных моделях роутеров. Раздел создан с целью показать разницу в интерфейсах, но единую модель выбора. Ориентируйтесь на скрины – этого вполне хватит.

Читаем – как зайти в настройки роутера.

Все модели перечислить невозможно. Пользуйтесь поиском на нашем сайте, найдите свою модель, ознакомьтесь с полной инструкцией по настройке.

Xiaomi

Cudy

Tenda

«Настройки Wi-Fi» – «Имя, пароль Wi-Fi».

TP-Link

Новая прошивка

Старая прошивка

Современные интерфейсы TP-Link тоже могут отличаться между собой. У меня до сих пор вот такой «зеленый». Но даже на самых новых идея сохраняется – заходите в пункт «Беспроводной режим», а в подпункте «Защита…» располагаются все нужные нам настройки.

Если видите выпадающие списки с «WPA2-PSK» и отдельно «Encryption», выбирайте «WPA2-PSK» и «AES». Иногда вместо «WPA2-PSK» пишут «WPA2-Personal» – смысл тот же. А если попадается «WPA2/WPA3» – можно пробовать его, особенно если дома много новых устройств. После смены настроек не забудьте переподключить телефоны и ноутбуки к сети заново, потому что роутер начнет ждать уже новый тип защиты.

ASUS

Новая прошивка

В роутерах Asus тип аутентификации называется «Метод проверки подлинности». От этого выбор не меняется, по-прежнему лучшим остается WPA2.

У Asus еще часто есть пункт «WPA2-Personal» и «WPA3-Personal», а также «WPA2/WPA3-Personal». Если не хотите экспериментировать – ставьте WPA2-Personal и AES. Если хочется «по максимуму» и все устройства свежие – включайте WPA2/WPA3-Personal. А когда у вас есть отдельные «умные» гаджеты, которые периодически отваливаются, можно вынести их в гостевую сеть и оставить там WPA2-AES, а основной сети дать смешанный режим.

Старая прошивка

Keenetik (Netcraze)

Заходим в раздел «Мои сети и Wi-Fi».

ZyXEL Keenetik

В Keenetic чаще всего все выглядит максимально дружелюбно: выбираете «WPA2-PSK» или «WPA2/WPA3», а ниже ставите «AES». Если есть пункт «TKIP+AES», не спешите радоваться: это режим совместимости, который полезен только для диагностики. А еще у Keenetic удобно включать гостевую сеть – это прямой способ не «портить» основную сеть ради одного старого устройства.

D-Link

Темный интерфейс

«Расширенные настройки» – (Wi-Fi) «Настройки безопасности».

Белый интерфейс

На D-Link логика такая же: WPA2 (или WPA2/WPA3) и AES. Если внутри есть отдельная настройка канала или диапазона, а сеть «капризная» и скорость плавает – иногда помогает перейти на 5 ГГц, если ваши устройства это поддерживают. У меня есть отдельная инструкция как переключить роутер на 5 ГГц – там все по шагам.

Huawei

Upvel

Небольшой FAQ

Вопрос: «AES» и «CCMP» – это одно и то же?
Ответ: Для обычного пользователя – да. В интерфейсе роутера могут писать по-разному: где-то показывают название алгоритма (AES), а где-то – режим шифрования для Wi-Fi (CCMP). Если вы видите CCMP, это нормальная современная настройка, она соответствует «AES для WPA2/WPA3». На практике просто выбирайте AES или CCMP и не выбирайте TKIP без необходимости.

Вопрос: Почему после выбора TKIP падает скорость?
Ответ: Потому что TKIP часто включает режим совместимости со старыми стандартами Wi-Fi. Роутер как бы говорит: «Ок, будем работать по старым правилам, лишь бы устройство подключилось». В результате сеть может скатиться до уровня 802.11g и примерно 54 Мбит/с, а новые стандарты (802.11n/ac/ax) перестают давать свои плюсы. Поэтому TKIP – это «временно и только для совместимости».

Вопрос: Можно ли оставить «Auto (TKIP+AES)» навсегда?
Ответ: Я бы так не делал. «Авто» удобно, когда вы проверяете, кто именно из устройств не умеет AES, и хотите быстро вернуть всем доступ. Но в таком режиме роутер может подстраиваться под самого слабого клиента, и вы снова получите падение скорости и лишние риски. Лучше определить проблемное устройство и решить вопрос точечно – заменить его, подключить иначе или вынести в отдельную сеть.

Вопрос: Что важнее – WPA3 или длинный пароль?
Ответ: В идеале и то, и другое. Но если выбирать, то длинный и неочевидный пароль на WPA2-AES даст больше практической пользы, чем WPA3 с паролем «12345678». Сильный пароль должен быть уникальным, не совпадать с паролем от почты или соцсетей, и его стоит менять, если вы раздавали его «гостям на праздник».

Вот вроде бы и все, что можно было сказать по теме. А вы используете тоже AES? А если нет, то почему?

Видео

YouTube