有線ネットワークよりも無線ネットワークの方がはるかに盗聴や侵入が容易なので、各種の規格には認証方式と暗号化方式が含まれています。IEEE 802.11規格のオリジナルバージョンでは、これらがWEP (Wired Equivalent Privacy)という用語で説明されています。ただし、WEPは安全でないことが判明したので(15.7.2項 「セキュリティ」)、WLAN業界(Wi-Fi Allianceという団体名で協力)はWPAという拡張機能を定義しており、これによりWEPの弱点がなくなるものと思われます。その後のIEEE 802.11i規格には、WPAと他の認証方式および暗号化方式が含まれています(WPAはドラフトバージョンの 802.11iに基づいているので、この規格はWPA2と呼ばれることもあります)。
認可された局だけが接続できるように、管理ネットワークでは各種の認証メカニズムが使用されます。
オープンシステムとは、認証を必要としないシステムです。任意の局がネットワークに参加できます。ただし、WEP暗号化(15.4項 「暗号化」を参照)は使用できます。
この方式では、認証にWEPキーが使用されます。ただし、WEPキーが攻撃にさらされやすくなるので、この方式はお勧めしません。攻撃者は、局とアクセスポイント間の通信を長時間リスニングするだけで、WEPキーを奪取できます。認証処理中には、通信の両側が1度は暗号化形式、1度は暗号化されていない形式で同じ情報を交換します。そのため、適当なツールを使えば、キーを再構成することが可能です。この方式では認証と暗号化に WEPキーを使用するので、ネットワークのセキュリティは強化されません。適切なWEPキーを持っている局は、認証、暗号化および復号化を行うことができます。キーを持たない局は、受信したパケットを復号化できません。したがって、自己認証を行ったかどうかに関係なく、通信を行うことができません。
WPA-PSK (PSKはpreshared keyの略)の機能は、共有キー方式と同様です。すべての参加局とアクセスポイントは、同じキーを必要とします。キーの長さは256ビットで、通常はパスフレーズとして入力されます。この方式では、WPA-EAPのような複雑なキー管理を必要とせず、個人で使用するのに適しています。したがって、WPA-PSKはWPA 「Home」とも呼ばれます。
実際には、WPA-EAP(Extensible Authentication Protocol)は認証システムではなく、認証情報を転送するためのプロトコルです。WPA-EAPは、企業内の無線ネットワークを保護するために使用されます。プライベートネットワークでは、ほとんど使用されていません。このため、WPA-EAPはWPA 「Enterprise」とも呼ばれます。
WPA-EAPは、ユーザを認証するのにRadiusサーバを必要とします。EAPには、サーバへの接続と認証手段として、TLS(Transport Layer Security)、TTLS(Tunneled Transport Layer Security)、およびPEAP(Protected Extensible Authentication Protocol)の、3種類の方法が用意されています。簡単に説明すると、これらのオプションは以下のように働きます。
TLSの認証は、サーバとクライアント両方の、証明書の相互交換に依存しています。はじめに、サーバがクライアントに対して証明書を提示し、それが評価されます。証明書が有効であるとみなされた場合には、今度がクライアントがサーバに対して証明書を提示します。TLSはセキュアですが、ネットワーク内で証明書管理のインフラストラクチャを運用することが必要になります。このインフラストラクチャは、プライベートネットワークでは通常存在しません。
TTLSとPEAPは両方とも、2段階からなるプロトコルです。最初の段階ではセキュリティ接続が確立され、2番目の段階ではクライアントの認証データが交換されます。これらの証明書管理のオーバヘッドは、もしあるとしても、TLSよりずっと小さいものです。