家里换新路由器,登录后台设置Wi-Fi密码时,看到「安全模式」选项里一堆名词:WPA/WPA2/WPA3、AES、TKIP、CCMP、PSK……很多人随手点个「WPA2-PSK AES」就保存了,其实这一步直接关系到你家网络是不是真安全。
别再用TKIP了,它早该退休了
老款路由器默认可能还开着「WPA-PSK TKIP」,听着像加密,实则漏洞百出。TKIP是2003年为临时补救WEP缺陷而生的过渡方案,2012年起已被Wi-Fi联盟正式弃用。黑客用普通笔记本跑个工具,几分钟就能破解TKIP加密的Wi-Fi密码。哪怕你设了12位混合密码,也挡不住。
目前最稳的选择:WPA3-SAE + AES
2018年推出的WPA3是目前官方认证的最高安全标准。它用SAE(Simultaneous Authentication of Equals)替代了旧的PSK握手方式,彻底杜绝离线字典攻击——就算别人录下你连网的过程,也没法拿回去慢慢爆破。
搭配的加密算法必须选AES(Advanced Encryption Standard),不是“AES+TKIP”这种混搭。混搭等于给门装了指纹锁,又留着一把老铜钥匙插在锁孔里。
实测:华硕RT-AX86U、网件RAX50、小米AX9000等较新机型,在无线设置页勾选「WPA3-SAE」后,下方加密类型会自动锁定为「AES」,无法手动改回TKIP。
如果你的手机/电脑太老,WPA2-AES仍是靠谱底线
Windows 7、iPhone 6s、安卓6.0以下设备不支持WPA3。这时请务必手动关闭「WPA2/WPA3混合模式」,只选「WPA2-PSK AES」。很多路由器默认开混合模式,看似兼容性强,实则会降级到WPA2握手流程,让WPA3设备也失去SAE保护。
检查方法:用手机连上Wi-Fi后,进「设置→Wi-Fi→点击当前网络→详情」,看「安全类型」是否显示「WPA2」或「WPA3」,而不是「WPA/WPA2」。
别信“自定义密钥长度”这类伪高级选项
某些企业级路由器提供「AES-128」、「AES-256」甚至「SM4国密算法」选项。家用场景完全没必要:AES-128已通过NSA认证,可抵御量子计算机以外所有现实攻击;AES-256只是多绕几圈,实际防护力无差异,反而可能降低老旧设备连接成功率。
至于SM4,国内部分政企采购设备才预置,主流手机和笔记本根本不认,开了等于变相断网。
顺手检查这三项,才算真正设牢
除了加密算法,别漏掉:
- 关闭WPS(Wi-Fi Protected Setup):物理按钮或网页开关都关掉,这是多数路由器被入侵的第一突破口;
- 管理后台密码别用admin/admin,至少8位字母+数字;
- 定期重启路由器(每月一次),能清掉潜在的内存驻留恶意脚本。
最后提醒一句:再强的加密,也防不住你把Wi-Fi密码贴在路由器背面。密码写在便利贴上,算法再高级也是白搭。