PSK

預共享密鑰模式（pre-shared key，PSK， 又稱為個人模式）是設計給負擔不起 802.1X 驗證服務器的成本和複雜度的家庭和小型公司網絡用的，每一個使用者必須輸入密語來取用網絡，而密語可以是 8 到 63 個ASCII字符、或是 64 個16位數字（256位元）。使用者可以自行斟酌要不要把密語存在電腦裏以省去重複鍵入的麻煩，但密語一定要存在 Wi-Fi 取用點裏。

安全性是利用密鑰導出函數來增強的，然而使用者採用的典型的弱密語會被密碼破解攻擊。WPA 和 WPA2 可以用至少 5 個Diceware詞或是 14 個完全隨機字母當密語來擊敗密碼破解攻擊，不過若是想要有最大強度的話，應該採用 8 個 Diceware 詞或 22 個隨機字母。密語應該要定期更換，在有人使用網絡的權利被撤消、或是設定好要使用網絡的裝置遺失或被攻破時，也要立刻更換。

WPA-PSK加密方式尚有一漏洞，攻擊者可利用spoonwpa等工具，搜索到合法用户的網卡地址，並偽裝該地址對路由器進行攻擊，迫使合法用户掉線重新連接，在此過程中獲得一個有效的握手包，並對握手包批量猜密碼，如果猜密的字典中有合法用户設置的密碼，即可被破解。建議用户在加密時儘可能使用無規律的字母與數字，以提高網絡的安全性。

預共享密鑰驗證不需要在公鑰結構 (PKI) 方面上進行硬件投資與配置，只在使用計算機證書進行 L2TP/IPSec 驗證時需要用到它。在遠程訪問服務器上配置預共享密鑰很簡單，在遠程訪問客户端上配置它也相對容易。如果預共享密鑰是以放在“連接管理器”配置文件內的方式發行，則對用户可以是透明的。如果您要建立 PKI 或者在管理 Active Directory 域，則可以配置“路由和遠程訪問”以接受使用計算機證書或預共享密鑰的 L2TP/IPSec 連接。

但是，單個遠程訪問服務器對需要預共享密鑰進行身份驗證的所有 L2TP/IPSec 連接只使用一個預共享密鑰。因此，必須對使用預共享密鑰連接到遠程訪問服務器的所有 L2TP/IPSec VPN 客户端發行相同的預共享密鑰。除非預共享密鑰是以放在“連接管理器”配置文件內的方式分發，否則每個用户必須手動輸入預共享密鑰。此限制進一步降低了部署安全性，增加了發生錯誤的機率。而且，如果遠程訪問服務器上的預共享密鑰發生更改，則手工配置預共享密鑰的客户端將無法連接到該服務器上，除非客户端上的預共享密鑰也進行更改。如果預共享密鑰是以放在“連接管理器”配置文件內的方式分發給客户端的，則必須重新發行包括新預共享密鑰的配置文件，並在客户端計算機上進行重新安裝。與證書不同，預共享密鑰的起源和歷史都無法確定。由於這些原因，使用預共享密鑰驗證 L2TP/IPSec 連接被認為是一種安全性相對較差的身份驗證方法。如果需要一種長期、可靠的身份驗證方法，則應考慮使用 PKI。

預共享密鑰是在遠程訪問服務器和 L2TP/IPSec 客户端上都要配置的字符序列。預共享密鑰可以是至多 256 個 Unicode 字符任意組合的任意非空字符串。當選擇預共享密鑰時，請考慮到使用“新建連接”嚮導創建 VPN 客户端連接的用户必須手動鍵入預共享密鑰。為提供足夠的安全性，密鑰通常很長也很複雜，這對大部分用户來説很難準確地鍵入。如果 VPN 客户端出現的預共享密鑰與遠程訪問服務器上配置的預共享密鑰有任何不同，客户端身份驗證將失敗。

首次存儲預共享密鑰時，遠程訪問服務器和 VPN 客户端會嘗試將 Unicode 字符串轉化為 ASCII。如果嘗試成功，則將使用 ASCII 版本的字符串進行身份驗證。該策略確保預共享密鑰不會在傳輸過程中被與 Unicode 標準不兼容的任何設備（如其他公司的路由器）所破壞。如果預共享密鑰無法存儲為 ASCII，則使用 Unicode 字符串。如果 Unicode 預共享密鑰必須由與 Unicode 標準不兼容的任何設備所處理，則連接嘗試無疑會失敗。

通過使用“連接管理器管理工具包 (CMAK）”嚮導，可以為用户創建自定義的連接。可使用 CMAK 嚮導創建包含預共享密鑰的 VPN 連接配置文件。因為配置文件是自解壓縮的，所以用户不必鍵入預共享密鑰，甚至不必知道存在預共享密鑰。通過用個人識別碼 (PIN) 加密預共享密鑰，可進一步增加“連接管理器”配置文件分發的安全性。通過這種方法，用户不僅看不到而且也不必鍵入預共享密鑰，您可以分別分發配置文件和 PIN，以減少未經授權的用户可能對網絡的訪問。

預共享密鑰模式（pre-shared key （PSK），又稱為"-Personal"，即“－個人模式”）是針對承擔不起802.1X認證服務器的成本和複雜度的家庭或小型公司網絡設計和使用的，每一個用户必須輸入預先配置好的相同的密鑰來接入網絡，而密鑰可以是8到63個ASCII字符、或是64個16進制數字（256比特）。用户可以自行斟酌要不要把密鑰存在計算機裏以省去重複鍵入的麻煩，但密鑰一定要預先配置在Wi-Fi路由器裏 ^[1]  。

安全性是利用PBKDF2密鑰導出函數來增強的，然而用户採用的典型的弱密鑰會被密碼破解攻擊。WPA和WPA2可以用至少5個Diceware詞或是14個完全隨機字母當密鑰來擊敗密碼破解攻擊，不過若是想要有最大強度的話，應該採用8個Diceware詞或22個隨機字母。密鑰應該要定期更換，在有人使用網絡的權利被撤消、或是設置好要使用網絡的設備丟失或被攻破時，也要立刻更換。某些消費電子芯片製造商已經有辦法跳過用户選出弱密鑰的問題，而自動產生和散佈強密鑰。做法是透過軟件或硬件接口以外部方法把新的Wi-Fi接口卡或家電加入網絡，包括按鈕（BroadcomSecureEasySetup和Buffalo AirStation One-Touch Secure Setup）和透過軟件輸入一個短的挑戰語（AtherosJumpStart）。

當前WPA加密方式尚有一漏洞，攻擊者可利用spoonwpa等工具，搜索到合法用户的網卡地址，並偽裝該地址對路由器進行攻擊，迫使合法用户掉線重新連接，在此過程中獲得一個有效的握手包，並對握手包批量猜密碼，如果猜密的字典中有合法用户設置的密碼，即可被破解。建議用户在加密時儘可能使用無規律的字母與數字，以提高網絡的安全性。