任何目睹新客户端关联过程的人都可以窃听他们的连接。

由于以目标的名义发送伪造的解除关联数据包的恶意主机可以强制重新关联，因此实际上总是可以使用预共享密钥监听 WPA(2) 网络上的所有连接。

您甚至可以在 Wireshark 中亲自尝试：在 802.11 设置中有一个内置选项可以解密所有传输；只要您知道 PSK 并且初始身份验证包含在记录的流量中，Wireshark 就会自动为您解密。

WEP 和 WPA 之间的区别在于，每个客户端都有一个不同的成对密钥（称为成对临时密钥），但由于此密钥始终直接从 PSK 派生，因此根本没有真正增加任何安全性。如果您想要这种安全性，则必须使用 EAP 和 RADIUS 服务器（有时称为“WPA 企业”），其中每个客户端的 PMK 都不同。

要使用 WPA2 解密捕获的连接，您必须：

• 知道共享主密钥。
• 在您查看数据之前见证目标客户端的最后一次同步/关联尝试。

WPA2 使用基于共享 PSK 的密钥派生方法，如RFC 4764中所述，您的具体问题在第 8.10 节中被提及为一个陷阱。

实际上，除非共享密钥非常薄弱，否则您会受到不知道共享密钥的人（例如，您的邻居）的保护。在那些知道共享密钥的人中，嗅探只比未加密的流量稍微复杂一点。

因此，“安全”与您要保护的内容有关。如果您担心知道密码短语的其他用户会嗅探您的流量，那么预共享密钥对您来说是不够的。

需要明确的是，每个知道密钥的人都可以解密数据。那些不知道共享密钥的人不能。

然而，那些不知道密钥的人仍然可以设置一个假接入点。

唯一完全“安全”的方法是设置一个 RADIUS 服务器，为每个用户提供一个唯一的密码，并允许您将证书放在验证 WiFi 接入点的客户端机器（笔记本电脑、iPad 等）上。如果你这样做，没有人（还）知道如何做任何事情来入侵你。

如果网络上每个人的密钥都相同，那么任何人都可以解密和分析任何人的流量。