WPA und WPA2 können einen sogenannten pre-shared-key (PSK, manchmal auch WPA_PSK genannt) zur Absicherung verwenden. Dies sollte man in einem Heimnetz nutzen, da andere Authentifizierungsmechanismen wie RADIUS in einem Heimnetz eher selten sind und von typischen Heim-Access-Points häufig gar nicht unterstützt werden.
Der PSK ist ein Schlüssel, der einmalig manuell (vom Benutzer) zwischen den beteiligten Geräten ausgetauscht (shared) werden muss. Da es sich dabei nicht um ein Passwort handelt, das man sich merken muß, sollte er die maximale Länge (63 ASCII Zeichen) haben und aus zufälligen Zeichen bestehen, damit er nicht per Brute-Force knackbar wird. Einen solchen Schlüssel erzeugt man am besten mit einem guten Schlüsselgenerator.
Ein solch guter Schlüsselgenerator ist das Tool pwgen. Mit dem Konsolenbefehl
pwgen -c -n -s 63 1
wird ein geeigneter Schlüssel generiert. Dieser Schlüssel muß auf dem WPA[2]-PSK-fähigen Access-Point eingestellt werden und auf jedem einzelnen Client bekannt sein.
Für wpa_supplicant sollte der 63 ASCII-Zeichen Schlüssel noch in Hexadezimalform umgewandelt werden. Die Berechnung erfolgt mittels wpa_passphrase. Dem Befehl wird die SSID des Access-Points und der mit pwgen erzeugte Schlüssel übergeben. So
wpa_passphrase MeineSSID MeinSchluessel
ergibt
network={
ssid="MeineSSID"
#psk="MeinSchluessel"
psk=1f6d1d5393464f5bf78acd3459f6314cbdca767f9d6c9890b100dee9
}
Wenn man seinen Schlüssel nicht wie hier in HEX umwandeln möchte, kann man auch einfach den Klartext-Schlüssel in Anführungszeichen gesetzt eintragen (wie in der mit # auskommentierten Zeile im Beispiel oben).
Der Schlüssel sollte keine sprachspezifischen Sonderzeichen enthalten. Zeichen wie ö ü ä ß § können dazu führen, dass sich der Netzwerkmanager aufgrund von unterschiedlicher Kodierung nicht anmelden kann. Zeichen wie ! $ % & / ( ) = ? ; : , . _ - * + sind hingegen unbedenklich und können (und sollen) verwendet werden, ebenso Großbuchstaben und Zahlen.