ปฏิเสธไม่ได้เลยว่าเครือข่ายไร้สายหรือ Wi-Fi (Wireless Fidelity) ได้เข้ามาเป็นส่วนหนึ่งของการใช้ชีวิตประจำวันทั้งการใช้งานส่วนบุคคลเพื่อเข้าถึงอินเทอร์เน็ตและการใช้งานเชิงพาณิชย์รูปแบบต่างๆ ไม่ว่าจะเป็นการประชุมออนไลน์การแชร์ข้อมูลระหว่างแผนกหรือการให้บริการลูกค้าทั้งนี้แม้ Wi-Fi จะมอบความสะดวกสบายแต่ก็มีความเสี่ยงด้านความปลอดภัยที่ควรคำนึงด้วยเช่นกันเนื่องจากผู้ไม่หวังดีสามารถเข้าถึงและขโมยข้อมูลที่รับ-ส่งผ่านเครือข่ายรวมถึงการโจมตีด้วยมัลแวร์เรียกค่าไถ่ (Ransomware)หรือการฟิชชิง (Phishing)ดังนั้นการรักษาความปลอดภัยของ Wi-Fi จึงเป็นเรื่องสำคัญที่ไม่อาจมองข้ามไม่ว่าจะเป็นองค์กรขนาดใหญ่องค์กร SMEs หรือแม้แต่ร้านกาแฟที่ให้บริการ Wi-Fi แก่ลูกค้าซึ่งทุกองค์กรต้องทำความเข้าใจถึงโปรโตคอลความปลอดภัยที่เหมาะสมเพื่อสร้างเกราะป้องกันและความอุ่นใจในการใช้งาน Wi-Fi
บทความนี้จะพามาลงลึกถึงมาตรฐานความปลอดภัย Wi-Fi อย่าง WEP, WPA, WPA2 และ WPA3 ว่ามีคุณลักษณะแตกต่างกันอย่างไรควรเลือกใช้มาตรฐานไหนและสามารถเพิ่มการป้องกันเครือข่ายด้วยโซลูชันความปลอดภัยใดได้บ้าง
ภาพรวมของโปรโตคอลความปลอดภัย Wi-Fi
การพัฒนาโปรโตคอลความปลอดภัยสำหรับเครือข่าย Wi-Fi มีวิวัฒนาการอย่างต่อเนื่องเพื่อรับมือกับภัยคุกคามไซเบอร์รูปแบบต่างๆ ที่เกิดขึ้นโดยปัจจุบันมีมาตรฐานหลัก 4 ประเภทได้แก่
1. WEP (Wired Equivalent Privacy)
2. WPA (Wi-Fi Protected Access)
3. WPA2 (Wi-Fi Protected Access II)
4. WPA3 (Wi-Fi Protected Access III)
WEP คืออะไร?
WEP หรือ Wired Equivalent Privacy คือมาตรฐานความปลอดภัยสำหรับเครือข่าย Wi-Fi แรกที่ถูกพัฒนาขึ้นในปี 1997 และผ่านการรับรองให้ใช้งานอย่างเป็นทางการเมื่อปี 1999 ซึ่งถือเป็นยุคแรกๆ ที่มีการใช้งาน Wi-Fi อย่างแพร่มากขึ้นในหลายประเทศทั่วโลกโดยมีคุณสมบัติในการเข้ารหัสข้อมูล (Encryption) เพื่อป้องกันไม่ให้แฮกเกอร์ดักจับข้อมูลในระหว่างการรับ-ส่ง
คุณลักษณะของ WEP
- ใช้การเข้ารหัส RC4 Stream Cipher
- รองรับคีย์ขนาด 64 Bit และ 128 Bit
- ใช้คีย์แบบคงที่ (Static Keys) ที่ไม่เปลี่ยนแปลงจนกว่าจะตั้งค่าใหม่
- ใช้ Initialization Vector (IV) ขนาด 24 บิต
- รองรับการยืนยันตัวตนแบบ Open System และ Shared Key
แม้จะเคยเป็นมาตรฐานที่ได้รับความนิยมณ ช่วงที่เปิดตัวและได้รับการแก้ไขหลายครั้งแต่ในปัจจุบัน WEP ถือว่าเป็นโปรโตคอลความปลอดภัยที่ล้าสมัยเนื่องจากมีช่องโหว่จำนวนมากและไม่สามารถป้องกันการโจมตีจากแฮกเกอร์และมัลแวร์ต่างๆ ได้ดังนั้นจึงไม่แนะนำให้องค์กรเลือกใช้ WEP ในการรักษาความปลอดภัยเครือข่ายในปัจจุบันแม้จะมีการติดตั้งไฟร์วอลล์ (Firewall)หรือSecure Web Gatewayที่แข็งแกร่งก็อาจไม่สามารถอุดช่องโหว่ที่มีใน WEP ได้
WPA คืออะไร
WPA หรือ Wi-Fi Protected Access คือโปรโตคอลรักษาความปลอดภัยที่ถูกคิดค้นขึ้นโดยองค์กร Wi-Fi Allianceเพื่อแก้ไขจุดอ่อนของ WEP โดยไม่ต้องเปลี่ยนฮาร์ดแวร์ใหม่ทั้งหมดซึ่งใช้โปรโตคอลการเข้ารหัสที่เรียกว่า TKIP ซึ่งมีความปลอดภัยสูงกว่า WPA มากโดยมีการเริ่มนำมาใช้งานอย่างเป็นทางการในปี 2003
คุณลักษณะของ WPA
- ใช้ TKIP (Temporal Key Integrity Protocol) ร่วมกับ RC4
- ใช้คีย์แบบไดนามิก (Dynamic Keys) ที่เปลี่ยนแปลงในแต่ละแพ็กเก็ต
- มี Message Integrity Check (MIC) เพื่อตรวจสอบความถูกต้องของข้อมูล
- รองรับทั้งโหมดการใช้งาน Pre-Shared Key (PSK) สำหรับผู้ใช้งานทั่วไปและโหมด Enterprise สำหรับองค์กร
- เข้ากันได้กับอุปกรณ์เดิมที่รองรับ WEP
- รองรับการเข้ารหัส AES ในเวอร์ชันหลังๆ
แม้ WPA จะได้รับการอัปเกรดให้มีความปลอดภัยสูงกว่า WPA แต่ก็ยังมีช่องโหว่จำนวนมากเช่นมีความเสี่ยงต่อการโจมตีแบบ Beck-Tews ทำให้ไม่เหมาะสำหรับการใช้งานในองค์กรที่ต้องการความปลอดภัยสูงและเป็นโปรโตคอลความปลอดภัยที่ไม่ได้ใช้งานแล้วในปัจจุบัน
WPA2 คืออะไร
WPA2 หรือ Wi-Fi Protected Access 2 ได้ถูกเปิดตัวในปี 2004 อย่างรวดเร็วเพียง 1 ปีหลัง WPA เพื่อแก้ไขข้อบกพร่องและช่องโหว่ต่างๆ ที่เคยมีอยู่ใน WPA และได้กลายเป็นโปรโตคอลหลักสำหรับการรักษาความปลอดภัยเครือข่าย Wi-Fi ในปัจจุบันโดยใช้การเข้ารหัส Advanced Encryption Standard (AES) ที่แข็งแกร่งกว่า TKIP อย่างมาก
คุณลักษณะของ WPA2
- ใช้การเข้ารหัส AES-CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)
- รองรับคีย์ขนาด 128 Bit และ 256 Bit ซึ่งเหมาะสำหรับใช้ร่วมกับสภาพแวดล้อมCloud Computing Hybrid
- มีการจัดการคีย์แบบไดนามิกที่ซับซ้อน
- รองรับทั้งโหมด Personal (PSK) และ Enterprise
- เป็นมาตรฐานที่ได้รับการยอมรับอย่างกว้างขวาง
WPA2 นั้นรองรับการใช้งานแบบ WPA2-Personal (WPA2-PSK) ที่เหมาะสำหรับธุรกิจขนาดเล็กและการใช้งานภายในบ้านใช้รหัสผ่านร่วมกันในการเข้าถึงเครือข่ายและการใช้งานแบบ WPA2-Enterprise ซึ่งออกแบบมาสำหรับองค์กรขนาดใหญ่โดยใช้เซิร์ฟเวอร์ RADIUS ในการยืนยันตัวตนพร้อมให้ความปลอดภัยสูงกว่าด้วยการกำหนดสิทธิ์เฉพาะบุคคลและยังทำงานร่วมกับSD-WANเพื่อจัดการเครือข่ายอย่างมีประสิทธิภาพ
ข้อดี-ข้อเสียของ WPA2
ข้อดี
- การเข้ารหัส AES ที่แข็งแกร่งและเชื่อถือได้
- เข้ากันได้กับอุปกรณ์ส่วนใหญ่ในตลาด
- มีความยืดหยุ่นในการใช้งานทั้งระดับบุคคลและองค์กร
- ได้รับการสนับสนุนจากผู้ผลิตอุปกรณ์ทั่วโลก
- มีเสถียรภาพสูงและผ่านการทดสอบมาเป็นระยะเวลายาวนาน
ข้อเสีย
- มีช่องโหว่ KRACK (Key Reinstallation Attack) ที่ถูกค้นพบในปี 2017
- ต้องอัปเดตเฟิร์มแวร์อย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ที่อาจเกิดขึ้น
- อาจไม่เพียงพอสำหรับองค์กรที่ต้องการความปลอดภัยระดับสูงสุด
- ฟีเจอร์ WPS (Wi-Fi Protected Setup) มีช่องโหว่และจุดอ่อนสำคัญที่ควรพิจารณา
WPA3 คืออะไร
ล่าสุดในปี 2018 ทาง Wi-Fi Alliance ก็ได้เปิดตัว WPA3 หรือ Wi-Fi Protected Access 3 ซึ่งเป็นโปรโตคอลความปลอดภัยใหม่ล่าสุดที่ต่อยอดจาก WPA2 พร้อมแก้ไขช่องโหว่ต่างๆ ทำให้มีประสิทธิภาพที่ดีขึ้นกว่าเดิมแม้จะยังไม่เป็นที่แพร่หลายมากนักเนื่องจากปัญหาความเข้ากันได้กับอุปกรณ์เก่าแต่ก็เป็นมาตรฐานความปลอดภัยที่หลายองค์กรทั่วโลกต่างเริ่มหันมาใช้งาน
คุณลักษณะของ WPA3
- ใช้ Simultaneous Authentication of Equals (SAE) แทน PSK
- การเข้ารหัส AES-GCMP-256 ที่แข็งแกร่งกว่า
- ป้องกันการโจมตีแบบ Brute Force ได้ดีขึ้น
- Forward Secrecy ที่ปกป้องข้อมูลเก่าแม้รหัสผ่านจะถูกเจาะ
- รองรับ Easy Connect สำหรับอุปกรณ์ IoT
WPA2 ต่างจาก WPA3 ยังไง ควรเลือกแบบไหน
ปัจจุบันมีการใช้งานทั้ง WPA2 ที่เป็นที่แพร่หลายที่สุดและ WPA3 ที่กำลังได้รับความนิยมเพิ่มขึ้นสำหรับองค์กรและผู้ที่กำลังพิจารณาเลือกระหว่างมาตรฐานความปลอดภัย 2 รูปแบบนี้ควรทราบถึงข้อแตกต่างสำคัญดังนี้
การยืนยันตัวตนและการป้องกันการเดารหัสผ่าน
WPA2 อาศัยหลักการยืนยันตัวตนแบบ Pre-Shared Key (PSK) ซึ่งมีช่องโหว่บางประการที่ทำให้แฮกเกอร์สามารถเข้าดักจับข้อมูลการและโจมตีแบบสุ่มเดารหัสผ่าน (Brute-Force) ได้อีกด้วยส่งผลให้ผู้ใช้งานมีความเสี่ยงโดยเฉพาะเมื่อตั้งรหัสผ่าน Wi-Fi ที่คาดเดาได้ง่ายตก
ในขณะเดียวกัน WPA3 ใช้การยืนยันตัวตนแบบ Simultaneous Authentication of Equals (SAE) ซึ่งเป็นโปรโตคอลความปลอดภัยที่แข็งแกร่งกว่าสามารถป้องกันการโจมตีแบบ Brute-Force ได้อย่างดีดังนั้นแม้จะมีรหัสผ่านที่อ่อนแอก็ยังสามารถใช้งาน Wi-Fi ได้อย่างปลอดภัย
การเข้ารหัสข้อมูล (Encryption)
ในโหมดการใช้งานส่วนบุคคล (Personal Mode) WPA2 ใช้การเข้ารหัสแบบ AES (Advanced Encryption Standard) ที่ 128 Bit ซึ่งยังถือว่าปลอดภัยแต่ WPA3 ได้ยกระดับการเข้ารหัสสำหรับโหมดองค์กร (Enterprise Mode) ให้สูงขึ้นถึง 192 Bit ซึ่งเป็นมาตรฐานที่แข็งแกร่งมากยิ่งขึ้นทำให้ผู้โจมตีเจาะข้อมูลได้ยากขึ้น
นอกจากนี้ WPA3 ยังมีฟีเจอร์ที่เรียกว่า "Forward Secrecy" ซึ่งหมายความว่าแม้ผู้โจมตีจะสามารถขโมยกุญแจเข้ารหัส (Encryption Key) ไปได้ในอนาคตแต่ก็ไม่สามารถใช้กุญแจนั้นถอดรหัสข้อมูลในอดีตได้ทำให้ข้อมูลเก่ายังคงปลอดภัย
ความปลอดภัยบนเครือข่ายสาธารณะ
ในกรณีที่เชื่อมต่ออุปกรณ์เข้ากับ Wi-Fi สาธารณะเช่นที่ร้านกาแฟห้างสรรพสินค้าหรือสนามบินที่ไม่มีการตั้งรหัสผ่านมาตรฐาน WPA2 จะไม่มีการเข้ารหัสข้อมูลทำให้ข้อมูลที่ส่งผ่านสามารถถูกดักจับได้ง่ายในทางกลับกัน WPA3 ได้เพิ่มฟีเจอร์ที่เรียกว่า "Opportunistic Wireless Encryption (OWE)" หรือ "Enhanced Open" ซึ่งจะเข้ารหัสข้อมูลระหว่างอุปกรณ์ของผู้ใช้งานกับ Access Point โดยอัตโนมัติแม้เครือข่ายจะไม่มีการตั้งรหัสผ่านก็ตามทำให้ข้อมูลส่วนบุคคลปลอดภัยมากขึ้น
ตารางเปรียบเทียบมาตรฐานความปลอดภัย WEP, WPA, WPA2 และ WPA3
|
คุณสมบัติ |
WEP |
WPA |
WPA2 |
WPA3 |
|---|---|---|---|---|
|
ปีที่เปิดตัว |
1997 |
2003 |
2004 |
2018 |
|
มาตรฐาน IEEE |
802.11 |
802.11i (Draft) |
802.11i |
802.11ax |
|
สถานะปัจจุบัน (ปี 2025) |
ล้าสมัยและไม่ปลอดภัย |
ไม่แนะนำให้ใช้งาน |
ใช้งานได้ดี (แต่มีช่องโหว่ KRACK) |
มาตรฐานล่าสุดและปลอดภัยที่สุด |
|
อัลกอริทึมเข้ารหัส |
RC4 |
TKIP/RC4 |
AES-CMMP |
AES-GCMP-256 |
|
ขนาด Session Key |
64-Bit และ 128-Bit |
128-Bit แบบ Dynamic Key |
128-Bit (Personal) และ 256-Bit (Enterprise) |
128-Bit (Personal) และ 192-Bit (Enterprise) |
|
Data Integrity |
CRC-32 |
Message Integrity Code |
CBC-MAC |
Secure Hash Algorithm |
|
การโจมตีที่พบบ่อย |
สามารถถอดรหัสได้ง่ายและรวดเร็ว |
สามารถโจมตีด้วย Dictionary Attack ได้ |
KRACK (Key Reinstallation Attack) |
ป้องกันการโจมตีแบบ Brute-Force ได้ดีเยี่ยม |
|
ระดับความปลอดภัย |
ต่ำ ไม่แนะนำให้ใช้งาน |
ปานกลาง ไม่แนะนำให้ใช้งาน |
ความปลอดภัยสูง |
ความปลอดภัยสูงสุด |
แนวทางการรักษาความปลอดภัย WiFi เพิ่มเติมสำหรับธุรกิจ
นอกจากการเลือกมาตรฐานความปลอดภัย Wi-Fi ที่เหมาะสมแล้วธุรกิจควรพิจารณามาตรการเสริมต่างๆ เพื่อยกระดับความปลอดภัยในการใช้งานเครือข่ายไร้สายเช่น
1. การใช้ VPN (Virtual Private Network) - เพิ่มชั้นการเข้ารหัสอีกระดับโดยเฉพาะเมื่อใช้งาน Wi-Fi สาธารณะ
2. การแบ่งเครือข่าย (Network Segmentation) - แยกเครือข่ายสำหรับแผนกต่างๆ เพื่อจำกัดความเสียหายหากเกิดการเจาะระบบ
3. การติดตั้งระบบตรวจจับการบุกรุก - ใช้ IDPS (Intrusion Detection and Prevention Systems) เพื่อตรวจจับและป้องกันการโจมตี
4. การฝึกอบรมพนักงาน - สร้างความตระหนักด้านความปลอดภัยไซเบอร์ให้กับพนักงานทุกระดับ
5. การสำรองข้อมูล - วางแผนสำรองข้อมูลและกู้คืนระบบที่ชัดเจน
บทสรุป
การรักษาความปลอดภัยเครือข่าย Wi-Fi เป็นสิ่งจำเป็นอย่างยิ่งสำหรับทุกธุรกิจในยุคดิจิทัลการเลือกใช้มาตรฐานที่เหมาะสมระหว่าง WPA2 และ WPA3 ขึ้นอยู่กับความต้องการและข้อจำกัดของแต่ละองค์กรแม้ WPA3 จะให้ความปลอดภัยสูงสุดแต่ WPA2 ก็ยังเป็นตัวเลือกที่ดีหากมีการตั้งค่าและดูแลอย่างเหมาะสม
สำหรับธุรกิจที่ต้องการความปลอดภัยในระดับที่สูงยิ่งขึ้นการลงทุนในโซลูชันความปลอดภัยแบบครบวงจรจาก Sangfor ถือเป็นอีกหนึ่งทางเลือกที่คุ้มค่าและครอบคลุมความต้องการเรามีโซลูชันความปลอดภัยทางไซเบอร์ (Cybersecurity) มากมายเช่นNext-Generation Firewall (NGFW), Secure Access Service Edge (SASE) และ Network Detection & Response รวมถึงEDR, MDR และโซลูชันData Loss Preventionเพื่อสร้างการป้องกันหลายชั้นที่แข็งแกร่งและตอบโจทย์ความต้องการของธุรกิจในยุคดิจิทัลอย่างแท้จริง
สามารถเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันความปลอดภัยทางไซเบอร์ทั้งหมดของ Sangfor ได้ที่นี่
คำถามที่พบบ่อย (FAQ)
ไม่ควรใช้โดยอย่างยิ่ง เนื่องจาก WEP มีช่องโหว่ร้ายแรงที่สามารถถูกเจาะได้ภายใน 2-3 นาที ด้วยเครื่องมือที่หาได้ฟรี แม้แต่เครือข่ายภายในก็ไม่ปลอดภัย ควรอัปเกรดเป็น WPA2 หรือ WPA3 ทันที
WPA3 ใช้ Simultaneous Authentication of Equals (SAE) ที่มีกลไกป้องกันการทดลองรหัสผ่านซ้ำๆ ทำให้ยากต่อการโจมตี ไม่ว่าจะเป็น:
- Cryptographically Strong Key Exchange
- Anti-Clogging Tokens เพื่อป้องกัน DoS
- Rate Limiting จำกัดจำนวนครั้งการลองรหัสผ่าน
- Computational cost ทำให้การโจมตีใช้ทรัพยากรสูง
อุปกรณ์ที่ผลิตก่อนปี 2018 อาจไม่รองรับ WPA3 ทั้งนี้อุปกรณ์บางรุ่นอาจอัปเกรดเฟิร์มแวร์เพื่อรองรับ WPA3 ได้
ใช้ WPA2 ร่วมกับการเข้ารหัส AES และอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด พร้อมทั้งใช้มาตรการความปลอดภัยเสริมอื่นๆ เพื่อรักษาระดับความปลอดภัย และอาจพิจารณาเปลี่ยน Router ใหม่ในอนาคต
KRACK (Key Reinstallation Attack) เป็นช่องโหว่ที่พบในปี 2017 โจมตี 4-Way Handshake ของ WPA2 สามารถถอดรหัสและแก้ไขข้อมูลได้ ซึ่ง WPA3 ได้รับการออกแบบมาเพื่อป้องกัน KRACK โดยเฉพาะ ด้วยการใช้ SAE protocol ที่ไม่มีช่องโหว่นี้
WPA-Personal ใช้รหัสผ่านร่วมกันและติดตั้งง่าย จึงเหมาะสำหรับการใช้งานส่วนบุคคลหรือธุรกิจขนาดเล็ก ส่วน WPA-Enterprise ใช้เซิร์ฟเวอร์ RADIUS ในการยืนยันตัวตน ซึ่งผู้ใช้งานแต่ละคนจะมีข้อมูล Credentials เป็นของตัวเอง และสามารถผสานรวมกับ ZTNA ในการยืนยันตัวตนผู้ใช้งาน จึงเหมาะสำหรับใช้งานในองค์กรขนาดใหญ่
