wpa2 的 wifi 如何防破解？

关掉 WPS 再设个复杂的密码，其它不需要。

纠正 LZ 一个误区，破解 WPA 和 WEP 不一样，只需要一个握手包慢慢跑即可。

明天换个密码，没多久他就放弃了

@RoberMac
同意，复杂一点估计一天是跑不出来的

@zmj1316
一天连 PIN 都跑不出

如果是我，我会在路由上一级加台电脑当代理。

例如网上已经出现的所有图片翻转，或者换成doge。

让你玩！

宽带控制，给他1k网速，让他去看电影吧

换热点名，然后不广播热点名

@jasontse 改密码不影响pin。。。

关掉wps,密码复杂一点。mac地址绑定。不动态分配ip。登录帐号和密码随机。如果他这五个都能破解你还是算了吧，用线吧。其实开了前两个就已经很安全了。

MAC地址过滤，不设密码，让你眼睁睁看着上不去→_→

mac地址白名单，不设密码就行了。

做个蜜罐给他.或者直接让他连上之后tcp劫持........

@ai0by
@Bakemono
WIFI抓包是可以获取到mac的,然后攻击者就可以伪造mac连上去

隐藏ssid,WAN口mac白名单,关闭dhcp

关闭SSID广播，开启IP过滤规则，绑定MAC地址等都可以。

关闭SSID广播，mac地址白名单

路由器加广告，放他进来，限制带宽，给他看广告 想想是多么美妙

关闭ssid广播，
关闭wps,就是pin码功能，
提升密码复杂度，长度设置到16位或以上，注意有路由的密码最大长度不够16位，会截尾，
提升路由管理密码长度自己复杂度
不需要时关电

关闭密码，打开手机验证，得到他手机号后，玩法就多了

何不打开城门，抓包获取数据呢？到时候得到他的支付帐号，淘宝买几个女友给他。让他没力气去破解。

@ai0by
@Bakemono
不设密码是愚蠢的，一个加密热点想盗号还需要先钓鱼，不加密连钓鱼都不用，直接无差别抓包。

纠正楼主一个误区：彩虹表需对应SSID，不同的SSID需要的彩虹表是不同的。所以只有常见SSID才会有人制作彩虹表。
这就是为什么现在的TPLink等默认SSID都要在后面加上个十六进制数作为后缀。一机一SSID即可破解彩虹表。

所以你只要设置一个个性化的SSID就可以强制对方慢慢跑密码了。

另外只要密码是随机数字大小写字母组合，16位就足够把破解用时拉长到无意义的程度了。

上FreeRadius ＋ wpa2-enterprise，欢迎他花钱去跑彩虹表

其实我很想直到楼主是怎么直到人家在尝试破解wifi密码的？

@vivianalive 路由器一般都有 log 功能

@vivianalive
@sanddudu 我也想知道……

WPA和WPA2根本没有办法通过彩虹表破解开啊~
和WINDOWS的用户名密码不一样，每个SSID的彩虹表都是不一样的。只要你是用的不是CMCC这种SSID，一般都是搞不定的啊~ 以前小小的研究过一下，爆破一秒钟跑不到一万个密码，随便搞个特殊字符够别人搞半年的了，只要不开PIN(WPS)。不过现在的路由器一般是自动防PIN的，只要路由不重启，PIN过几个以后就再也PIN不开了。一句话总结，只要密码不在表内，相当安全

我自己的做法，SSID改CMCC，取消密码，那边MAC绑定，关闭DHCP，设置能够连接互联网的IP池，让丫的连去吧～～～

不广播 SSID 根本没用吧～ 设置完密码后可以下点字典包查查里边是否包含自己的密码。

@zhs227 有些路由防pin是假的，一分钟内给你尝试3个，错了三个后就禁用你连接，但是然一分钟后又可以三个了。
我已经遇到不少这样的路由了，最多的是水星然后是tp-link

@anheiyouxia
不然你的定义什么样才是真的

@jasontse 上面有人提到，最起码要重启后才能继续被破解，而不是就禁用1分钟

@jasontse 你知不知道这种假防pin破解路由就跟没防pin一样？

设个复杂密码让他跑去呗，有啥关系。。

隐藏ssid，开访客网络吸引火力

破解也是破解弱密码，很少有艹强密码的，他又不是咸的蛋疼专门破解，他只是想上网，没有谁是专门为了破解密码。

有的路由器在界面里关掉 wps 但实际上还能用 pin。
wpa2 防破解就两步：复杂密码和防 pin 破解。

复杂密码跑字典非常烧 CPU，一般人都会崩溃。防 pin 可以刷 OPENWRT 之类的固件，或者自己定期在路由器后台更换 pin 码。

路由不重启防pin 不靠谱，有一堆工具让你觉得路由器非常卡，然后你会想去自己重启。

MAC白名单，也可以通过伪造 mac 地址绕过，airodump-ng 可以看到你的设备的 mac 地址。不广播 SSID 没实验过，但是一般认为工具仍然能够扫到。

@typcn 其实像我这种闲的蛋疼的人，真试过无聊就试着破解附近的热点
不过wpa2密码八位数以上的非字典密码真的没试过破解出来，太慢了

没什么必要防, 8位随机密码用中档显卡爆破大概要70多年, 63位的几乎不可能, 何必操那么多心

@anheiyouxia 我也真咸的蛋疼开wifi钓过一次鱼，几年前了吧，那会还上初中。。有一天停电了，我用储电开启 wifi 热点，在那抓包，30 多个设备连接，抓到几个微博账号密码，几乎所有人的手机号和 imei ，qq 没抓到 账号密码 只找到了 sessionid 。 国内好多软件会在每一个请求后面附上敏感信息 ， 还不是 https 。

没有人类似电信那种开放的WIFI，连上需要Web验证的系统？验证页面再挂一个联盟应该不错啊。

@anheiyouxia @jasontse @typcn @shiny
像typcn说的那样，破密码是为了上网，一天破不出来一般会再找一家。比如算pin，要求机器一直在线，信号不好的情况下要算10000个pin很困难，有时候到9999发现没找出来，又从0000开始循环的也有。不防pin基本一天出来，防pin哪怕间隔一分钟，一般一天都算不出。如果不是商业用途，不会花那么大精力来弄。当然用树莓派或其它嵌入式盒子的例外。我觉得基本上目前的路由器也可以算是防pin了。
跑字典更是扯，一般就是几个社工字典，再加上八位数字，本地手机号和固话。一晚上只能跑一遍，如果有九位数字要两三年才能跑完。所以密码稍微复杂就可以，让别人主动放弃。

mac地址黑名单就好，，

让丫连，弄个镜像路由监控他上网，盗他号。

@zhs227 wifi 肯定要破信号最好的。如果你的 wifi 对他而言是最好的，就会不折不挠。最长我挂过半个月。

至于跑字典只适合弱密码。

哪有这么麻烦..你看下你房子周围有没有程序猿就可以了..我家旁边有个wep的..经常拿来用用,有时候双网卡下载就是效果拔群.只要不被搞破坏..何必跟防贼一样...

白名单+1

关wps mac白名单

@imcczy 这么做一般能就挡住了 但是如果较真 还是可以蹭网的 首先使用和你一样的mac ，然后检测你的内网ip，设置成和你不一样的即可

@liyangyijie 这么做真是丧心病狂了

让他连……为啥不让他连……再引导他下个根证书。呵呵 爷玩死你

@imcczy 一般人不会这么蛋疼麻烦，但凡丧心病狂这么做无非是热点名字改成了辱骂而已 其实一般关掉wps 另外设置一个新密码就能拒之门外了

去和他交个朋友吧：）

既然无法阻止，何不来点儿狠得。。。

http://www.cnblogs.com/index-html/p/wifi_hijack_4.html

看了楼上所有答案，只有 1L 是正确的。
关掉 ssid 也没用，用黑客工具随便弄你出来。
关 wps 是因为，wps 只有 8 位密码，是个安全短板，使你的 63 位随机密码成鸡肋。
长密码是防暴力破解。如果你是随机 63 位密码的话，是可以躲过彩虹表的。

另外，他那天如果拿你寻开心的话，还可以弄个蜜罐来钓你。

大家已经回答的很好了。
关掉wps 防止 pin破解。
使用wpa2 aes 高强度密码 大小写字母加数字。 如果嫌不好输入。可以打印个二维码。
再安全点，就mac 白名单。

@alsotang 8位密码要跑多久？

@jasontse 怎么爪？什么工具啊？

@alsotang 一楼的答案并不是完全正确的，WPS是可以开启的，但是WPS内的pin码认证要关闭，只要关闭pin码认证就不怕wps破解
另外就是，wps的pin码认证其实认真来说并不是8位的，只要前面四位猜出来，第五六七位再单独跑一次，第八位是校验码，所以破解wps的pin漏洞，实际上最多最多只要跑1.1万位就够了
另外关闭SSID，只要不是有pin漏洞，你还是没办法获取SSID的，SSID还是比较有效的防破解手段，普通方法最多获取个mac地址而已。

上面的方法是针对目前市面上大家能获取到的破解工具说的


另外楼主@baskice，只要采用WPS2/WPA，密码在八位数以上的，随便加一个字母，不要用字典密码，WPS关闭pin码认证基本上就是安全的了
隐藏SSID是进一步有效的安全防御手段

而抓包破解WPA2/WPA的，如同一楼说的，只要一个握手包就够了。但是实际上破解起来要一个个密码去跑，普通计算机的速度，没个一年半载，基本上破解不了

最后一个关于买个更高级的路由，这个其实不用，因为所有路由基本上是一样的，再高级的路由破解方法还是一样的，上面做足了，就够了

@simapple 你这个方法不错，值得一试。