你需要在这里有所作为。有很多事情需要考虑。“ WPA2 ”也不够精确——有 WPA2-PSK（预共享密钥）和 WPA2-Enterprise（依赖于外部身份验证服务器）

1. 攻击者想要获得流量或网络的访问权限，但没有进入的凭据

嗯，运气不好。WPA2，PSK 和 Enterprise 都可以很好地防止这种情况，除非凭据很容易猜到。这并不是系统的“损坏”——如果您使用您的用户名登录网站，您真的不能责怪该网站“容易破解”。

因此，在这方面，WPA2 是完全安全的（只要您不使用WPS，但您的问题是关于热点，所以肯定不是这种情况）。

2. 攻击者已经是网络的一部分，现在想要读取其他用户的流量

对于热点来说，这是一个特别相关的攻击场景——访问网络可能就像用现金购买一杯咖啡一样简单。

所以。让我们在这里有所作为：

2.1。Hotspot 使用 WPA2-Enterprise

您登录到热点，证明（安全地）您知道凭据。接入点与身份验证服务器 (802.1x) 合作进行检查。身份验证服务器会生成一个在密码学上足够安全的密钥，以作为您与接入点通信的基础。每个用户都有一个不同的密钥来加密他们的流量。没有用户可以监视其他用户。

WPA2-enterprise 在任何意义上都没有“损坏”。

2.2. 热点使用 WPA2-PSK

您登录接入点，证明您知道 PSK。接入点与您合作生成一个密钥，您可以使用该密钥对您与热点之间的流量进行加密和解密。

其他用户也这样做：证明他们知道（相同的）PSK，然后为他们的流量加密生成一个秘密。

因此，首先看一下系统，这与 WPA2-Enterprise 一样安全。

但是：由于用户 AP 密钥生成方式的弱点，对于已经拥有这些密钥之一（已登录到咖啡馆的 AP 保证）并知道 PSK（您的每个用户最喜欢的咖啡店会这样做）通过观察几个数据包来恢复其他人的秘密用户AP密钥，完全被动。

这是一个严重的设计缺陷。

因此，WPA2-PSK 是“损坏的”，因为它不能保护 WiFi 网络的用户免受同一网络的其他合法用户的监视。@Josef 和我不完全同意这是“设计”还是真正的“破碎”。

无论如何，您应该从中得到的好处是：每当您使用对所有人使用相同密钥的 WiFi 时，网络上的其他所有人都可以读取您的流量。

是否有任何其他不受损害的 Wi-Fi 安全协议？

使用 WPA2-企业。您将需要设置一个 802.1x 服务器（通常是 radius 或类似的东西），这可能会很麻烦，但如果您拥有一个接入点并希望为每个人提供安全访问，那是您唯一的选择。它一点也不复杂。

如果你只是一个 wifi 的用户，那句老话说：

• 相信任何人的基础设施。使用加密。

换句话说，如果您所在的网络无法信任其他用户，那么您最好不要信任负责解密您的 WiFi 流量的接入点……

只要您在其他人的网络上，请使用 VPN。这是标准的礼仪。

WPA 2 没有受到影响。

对于没有 WPS 的WPA2-PSK（预共享密钥），只能使用暴力破解或 wordlist 破解密钥。这也可能离线发生（这意味着您从网络收集一些数据，然后在不靠近该网络的情况下破解密钥）。

如果您使用 WPA2-PSK，请使用强密钥。

知道此网络密钥的人可以读取所有流量，因此您应该只将该密钥提供给您信任的人。如果您在公共咖啡馆这样的环境中，每个人都使用相同的 PSK，那么所有这些人都可以读取您的流量。

带有证书身份验证的WPA2-Enterprise更加安全。如果正确实施，每个人都使用不同的密钥，因此网络中的其他人无法使用 WiFi 读取您的流量。（但例如，您可以假设使用电缆连接到接入点的人仍然可以做到这一点！）

还有不安全的WPS，应该禁用。WPS 有两种模式。首先，您的路由器会在您按下按钮后的一段时间内将安全的 WPA2 密钥提供给任何人。在第二种模式下，您的路由器会将安全 WPA2 密钥提供给任何知道一个非常短的数字（通常为 4-7 位）的人。因此，如果我只是尝试在您的路由器上使用从 0000 到 9999 的所有数字，我会得到您的密钥。禁用它！

如果您的端点的安全性取决于传输层或任何更低级别的安全性，那么您就已经输了。即使 WPA2 没有问题，您也容易受到受损或假路由器的攻击。将网络视为可信是一个根本性错误，它会造成巨大的攻击面和试图维护安全的巨大成本。

相反，只需将网络视为受到威胁并采取相应行动。使用 TLS（例如 HTTPS）或类似的协议来加密您的流量并证明您正在与之通信的对等方的身份。一些信息会泄露（比如你正在连接的网站的身份）；如果这是一个问题，有多种方法（例如 Tor 或 VPN，但你如何使用它们的细节很重要）你可以解决这个问题。