WPA2-Enterprise（在我看来）比 PSK 安全得多。原因

• WPA2-PSK 在所有设备中都有一个共享密钥。这意味着如果其中一台设备遭到破坏，则密钥会丢失，因此您丢失或受到破坏的风险会增加的设备越多。与此相反，WPA2-Enterprise 具有每个用户的机密，因此不是同一个问题。
• 使用 WPA2-Enterprise，每个用户都可以根据需要更改其凭据，而使用 WPA2-PSK 更改密码可能是一项重大任务，具体取决于用户/设备群体的规模和构成。这增加了泄露的潜在严重性，因为密钥轮换（在大多数情况下）比密码轮换慢得多，因此如果凭证被泄露，使用 PSK 可能会保持更长时间。
• 使用 WPA2-Enterprise，您可以使用更强大的身份验证机制（例如，如果需要，可以使用 2 因素）
• 使用 WPA2-Enterprise，您可以添加证书身份验证以阻止随机攻击者暴力破解用户凭据以获取访问权限。

要回答您的问题，您确实需要了解一点 WPA2 的工作原理。

首先，双方需要一个共同的起点（“成对主密钥”或 PMK）​​来构建加密密钥（“成对瞬态密钥”或 PTK）。此 PMK 是 WPA2-PSK 的 PSK，或者是在 WPA2-Enterprise 的 EAP 交换期间由 RADIUS 服务器生成的。

PTK 是通过组合和散列以下值创建的：PMK、验证者 nonce 值或 ANonce、请求者 nonce 值或 SNonce、AP 的 MAC 地址 (BSSID)，最后是站点的 MAC 地址。

PTK 的信息以四次握手方式交换：

1. Station 认证后，AP 会向 Station 发送 ANonce。
2. 该站以 SNonce 和一个 MIC（消息完整性代码）作为响应。
3. 然后，AP 使用 GTK（组临时密钥 - 用于广播/多播）和 MIC 响应站点。
4. 站点向 AP 发送确认。

一旦完成，站点和 AP 都能够生成 PTK，并且知道对方也能够这样做。

使 WPA2-Enterprise 比 WPA2-PSK 更安全的原因在于，每个经过身份验证的站点都有一个唯一的 PMK，并且每次站点连接时 PMK 都是唯一的。因此，即使有人暴力破解 PTK 并计算 PMK，这也仅适用于单个站点，并且仅适用于它重新连接。

使用 WPA2-PSK，一旦攻击者计算出 PMK（在本例中为 PSK），只要它能够捕获站点和 AP 之间的四次握手，它就可以解密无线网络上的所有数据。这通常是通过向站欺骗解除身份验证帧导致它们重新连接来完成的。

在个人模式或预共享密钥 (PSK) 中，所有用户共享相同的 256 位密钥，由 8 到 64 个字符的密码生成。WPA2 使用强大的加密协议，当使用足够长且安全生成的密码短语时，这些协议可能无法破解。否则，可以通过捕获四次握手并计算所有可能的组合来找到共享秘密。如果蛮力/字典攻击成功（可能是由于可以在彩虹表中找到的弱密钥），那么所有未来/过去的通信都可能受到损害。另一个缺点是，如果知道密钥的员工离开组织，所有用户都可能需要更改密钥。

在企业模式或 RADIUS 模式下，外部 RADIUS 或 AAA 服务器用于身份验证。可为每个用户颁发唯一的登录凭据（包括证书）。因此，即使您以暴力破解并以某种方式获取用户的密码，也只有该用户受到影响。这种独特的用户名和密码方案还具有可扩展性，因为用户帐户可以轻松地从网络中添加或删除。

企业模式基于 IEEE 802.1X 身份验证标准，并使用具有多种变体的可扩展身份验证协议 (EAP)。如果使用 EAP-TLS 和证书（通常被认为是最安全但部署起来很麻烦），那么暴力破解方法将更加困难，因为您现在需要打破 RSA 等非对称方案（基于整数分解很难的假设问题 - 它在 20 多年的审查中幸存下来），而不是简单地强制一个潜在的“较弱”的通过阶段。使用客户端证书，仅靠泄露的密码不足以破坏 EAP 方案，因为还需要客户端的私钥。

因此，WPA2 Enterprise 显然比 PSK 版本更安全且可扩展。

我的理解（如果我错了，请随时纠正我）是，一旦建立连接，每次会话的 AP 和设备之间都会生成一个新的随机密钥。这意味着密钥不太可能是字典单词，因此很难破解。此外，即使您确实破解了它，它的价值也较小，因为虽然您可以解密您可能嗅到的流量，但您无法加入网络，因为它不太可能仍在使用中。

但对我来说，Enterprise 真正的一大优势在于每个用户都有自己唯一的用户名/密码，因此如果您有 1,000 台笔记本电脑连接，那么即使其中一台被盗，您也无需全部更新。您可以简单地禁用该帐户，而无需更改所有 AP 和所有笔记本电脑上的密钥。

对于具有 <10 台设备的家庭网络，不值得付出努力，但 WPA2-PSK 无法扩展。