O WPA3 é genuinamente mais seguro do que o WPA2?

Sim, em três eixos estruturais. Primeiro, o WPA3 introduz o SAE (Simultaneous Authentication of Equals), um protocolo de troca de chaves baseado no mecanismo Dragonfly que torna impossíveis os ataques de dicionário offline — mesmo que um atacante capture o handshake inicial, não consegue testar palavras-passe candidatas offline como conseguia com o WPA2-PSK. Segundo, o WPA3 ativa o Perfect Forward Secrecy por predefinição: cada sessão gera uma chave efémera única, pelo que comprometer a chave de uma sessão não dá acesso a qualquer sessão passada. Terceiro, o WPA3 introduz o OWE (Opportunistic Wireless Encryption) para redes abertas — um café que oferece Wi-Fi sem palavra-passe pode ainda assim cifrar o tráfego de rádio entre cada cliente e o AP, neutralizando o packet sniffing clássico. Nenhuma destas melhorias é cosmética. A Wi-Fi Alliance publicou o WPA3 em 2018 especificamente para resolver as limitações estruturais do WPA2, expostas da forma mais clara pelo KRACK em 2017.

O meu hardware atual suporta WPA3?

Depende do ano e da categoria do dispositivo. Smartphones: iPhone XS/iOS 13 e posteriores (2018), Android 10 e posteriores (2019, suporte varia consoante o fabricante). Computadores: Windows 10 build 2004 (maio de 2020) e Windows 11, macOS Big Sur (2020), Linux com wpa_supplicant 2.10+. Routers: os routers fornecidos pelos operadores em Portugal e na Europa começaram a suportar WPA3 a sério a partir de 2020–2022. Os routers Wi-Fi 6 (802.11ax, desde 2019) e Wi-Fi 7 (802.11be, desde 2023) suportam WPA3 de forma nativa. IoT: muito irregular — muitos dispositivos ligados de gama consumo (lâmpadas Philips Hue mais antigas, câmaras IP de baixo custo, certos termostatos) estão presos no WPA2-PSK e nunca receberão uma atualização WPA3. Para verificar: Windows → Definições → Rede → Wi-Fi → Propriedades → Tipo de segurança; iOS → Definições → Wi-Fi → toque em (i) ao lado da rede; Android → Definições → Wi-Fi → rede atual → Detalhes.

Devo substituir o meu router se ainda estiver no WPA2?

Não necessariamente, mas é uma boa oportunidade se estiver a fazer um upgrade por outro motivo (mudança para Wi-Fi 6, troca de operador, banda mais rápida). Enquanto a sua rede doméstica usar uma palavra-passe longa e forte (12+ caracteres mistos), o WPA2-PSK continua razoavelmente seguro para o uso doméstico padrão em 2026 — a falha KRACK de 2017 foi corrigida em todos os sistemas operativos modernos, e os ataques de dicionário offline são computacionalmente dispendiosos contra uma palavra-passe suficientemente longa. A situação muda se usar uma palavra-passe Wi-Fi curta (menos de 10 caracteres) ou comum, se gerir um ponto de acesso num ambiente profissional ou de habitação partilhada, ou se alojar dispositivos IoT sensíveis (câmaras, alarmes, fechaduras inteligentes). Nesses casos, passar para WPA3 — através de um router compatível ou ativando-o num dispositivo suportado — traz uma melhoria significativa. A prática recomendada em 2026: ativar o modo misto WPA2/WPA3 (modo de transição) para manter a compatibilidade com dispositivos mais antigos beneficiando ao mesmo tempo do WPA3 nos clientes modernos.

O WPA3 protege-o em Wi-Fi público?

Parcialmente — o principal contributo é o OWE (Opportunistic Wireless Encryption), muitas vezes chamado Enhanced Open nas interfaces de consumo. Num Wi-Fi aberto WPA2 ou não cifrado (ainda a configuração mais comum em 2026 em cafés e hotéis), qualquer cliente ligado pode potencialmente intercetar o tráfego de outros clientes usando o Wireshark em modo monitor. O OWE cifra oportunisticamente cada ligação cliente-AP com uma chave efémera sem exigir uma palavra-passe partilhada. Resultado: mesmo numa rede 'aberta' sem palavra-passe, o tráfego de rádio entre cada cliente e o AP torna-se ilegível para os outros clientes. É uma melhoria estrutural relevante. Limitação: o OWE só protege a camada de rádio, não o resto da cadeia. O operador do hotspot continua a ver os domínios via DNS e SNI, e outros ataques (Evil Twin, captive portal comprometido) continuam possíveis. Uma VPN continua a ser necessária para um uso sério em Wi-Fi público — consulte o nosso guia completo sobre os [riscos do Wi-Fi público em 2026](/en/blog/public-wifi-risks-2026).

WPA2 vs WPA3: o que o novo padrão Wi-Fi muda realmente em 2026

Q: O que é o KRACK e ainda é um problema em 2026?

O KRACK (Key Reinstallation AttaCKs) é uma família de vulnerabilidades descobertas em 2017 por Mathy Vanhoef e Frank Piessens, dois investigadores da KU Leuven, na Bélgica. O ataque explorava uma falha no handshake de 4 vias do WPA2: ao forçar o cliente a reinstalar uma chave de sessão já usada, o atacante podia em alguns casos decifrar tráfego ou até injetar pacotes. A falha afetava praticamente todas as implementações de WPA2 no mercado (Windows, macOS, Linux, Android, iOS, IoT). A indústria respondeu rapidamente: a Microsoft, a Apple, a Google e as distribuições Linux corrigiram todas entre outubro de 2017 e janeiro de 2018; os routers receberam firmware corretivo do final de 2017 a meados de 2018. Em 2026, num sistema operativo e firmware atualizados, o KRACK já não é uma ameaça prática. A razão pela qual o WPA3 continua relevante apesar da correção do KRACK: o WPA3 elimina estruturalmente a classe de vulnerabilidades que tornou o KRACK possível, em vez de corrigir uma instância específica. O SAE substitui o handshake de 4 vias por uma troca Diffie-Hellman autenticada, que por construção previne os ataques de reinstalação de chave.

A segurança Wi-Fi é uma daquelas áreas técnicas onde as mudanças são quase invisíveis para os utilizadores finais mas estruturalmente significativas. O WEP foi quebrado no início dos anos 2000; o WPA e depois o WPA2 dominaram durante quase duas décadas; e o WPA3 — oficialmente publicado pela Wi-Fi Alliance em 2018 — está finalmente a tornar-se comum em 2024–2026 nos routers fornecidos pelos operadores, nos smartphones e no novo hardware Wi-Fi 6/7. Compreender o que muda realmente entre os dois padrões não é apenas para administradores de rede: afeta diretamente o que um vizinho, um colega de casa mal-intencionado ou um atacante próximo pode tecnicamente fazer com a sua rede doméstica ou com um hotspot público.

Este guia cobre as falhas estruturais do WPA2 que motivaram o novo padrão, as melhorias concretas do WPA3 (SAE, Perfect Forward Secrecy, OWE para redes abertas), o estado do suporte de hardware em 2026 nas principais categorias de dispositivos e as mitigações práticas se o seu hardware ainda não acompanhou.

TL;DR

O WPA3 corrige as três fraquezas estruturais do WPA2: (1) ataques de dicionário offline contra o handshake de 4 vias (PMKID, capturável em segundos), (2) ausência de Perfect Forward Secrecy (comprometer uma sessão compromete o passado), (3) zero cifragem em redes abertas (cafés, hotéis). O WPA3 introduz o SAE (Simultaneous Authentication of Equals), substituindo o PSK por uma troca Diffie-Hellman autenticada resistente a ataques offline; o Perfect Forward Secrecy por predefinição (chaves de sessão efémeras); e o OWE (Opportunistic Wireless Encryption) para redes abertas. A falha KRACK 2017 (Vanhoef & Piessens, KU Leuven) que expôs o WPA2 foi corrigida em todos os sistemas operativos modernos — pelo que o WPA2-PSK com uma palavra-passe longa continua razoavelmente seguro para uso doméstico em 2026. Mas em Wi-Fi público ou com dispositivos IoT expostos, o WPA3 oferece uma proteção significativamente mais forte. A Wi-Fi Alliance publica a certificação WPA3 oficial; o modo de transição WPA2/WPA3 continua a ser a configuração recomendada para compatibilidade.

Breve história: WEP → WPA → WPA2 → WPA3

Para compreender o WPA3 é preciso compreender o que ele substitui e porque demorou 16 anos a passar do WPA2 (2004) à adoção generalizada (2024+). Quatro gerações de protocolos, cada uma introduzida para resolver as falhas da anterior.

WEP (Wired Equivalent Privacy, 1997–2003). O primeiro protocolo de segurança Wi-Fi, baseado em RC4 e CRC-32. Tecnicamente quebrado já em 2001 por Fluhrer, Mantin e Shamir, que mostraram que a chave podia ser recuperada analisando estatisticamente alguns minutos de tráfego. Em 2007, ferramentas públicas (aircrack-ng) permitiam a qualquer um quebrar uma chave WEP em 5–10 minutos. A Wi-Fi Alliance retirou oficialmente o WEP em 2004, mas ainda se encontra hoje em alguns equipamentos industriais obsoletos — uma verdadeira preocupação de segurança de perímetro nas fábricas mais antigas.

WPA (Wi-Fi Protected Access, 2003). Uma transição temporária concebida para corrigir o WEP sem substituir o hardware existente. Introduziu o TKIP (Temporal Key Integrity Protocol) — ainda baseado em RC4 mas com rotação de chaves. Quebrado em 2008 pelo ataque Beck-Tews que explorava fraquezas do TKIP. Considerado obsoleto em 2010, retirado oficialmente pela Wi-Fi Alliance em 2015.

WPA2 (2004, obrigatório desde 2006). O padrão que dominou de 2006 a 2020. Introduziu o CCMP (Counter Mode CBC-MAC Protocol) baseado em AES-128 — uma primitiva criptográfica sólida ainda considerada segura em 2026. Dois modos: Personal (PSK, uma chave pré-partilhada comum a todos os clientes) para uso doméstico, Enterprise (802.1X com um servidor RADIUS) para empresas. O modo Personal tornou-se o padrão de facto para 95% das instalações residenciais. Vulnerabilidades-chave identificadas ao longo do tempo: ataque PMKID (2018, Jens Steube, hashcat) permitindo a captura de um identificador utilizável para força bruta offline; KRACK (2017, Vanhoef & Piessens) explorando o handshake de 4 vias. Todas corrigidas ao nível do OS e do firmware, mas estas falhas mostraram que a base arquitetural do WPA2 estava a envelhecer.

WPA3 (publicado 2018, certificação comercial 2018–2020, adoção 2020–2026). Publicado pela Wi-Fi Alliance em junho de 2018. Três melhorias estruturais: o SAE substituindo o PSK para autenticação, Perfect Forward Secrecy obrigatório, OWE para redes abertas. Além disso: tamanho da chave aumentado para 192 bits no modo Enterprise (anteriormente 128 bits), MFP (Management Frame Protection) obrigatório para prevenir ataques de desautenticação. A implementação foi lenta: exigiu chipsets Wi-Fi 6 (a partir de 2019) para se generalizar, e depois que os routers fornecidos pelos operadores acompanhassem.

Falhas conhecidas do WPA2 — porque o WPA3 era necessário

O WPA2 não está "quebrado" como o WEP estava. A sua primitiva criptográfica central (AES-CCMP) continua sólida. Mas o protocolo de autenticação (handshake de 4 vias) e a gestão de chaves acumularam falhas estruturais suficientes para justificar uma reformulação. Eis as três principais documentadas na literatura académica.

KRACK (Key Reinstallation Attacks, 2017)

Descoberto por Mathy Vanhoef e Frank Piessens na KU Leuven em 2017. O ataque explora uma fraqueza no handshake de 4 vias do WPA2: um atacante dentro do alcance de rádio pode forçar a vítima a reinstalar uma chave de sessão já usada, o que em algumas implementações reiniciava nonces e contadores criptográficos. Consequência: decifragem parcial do tráfego e, em implementações particularmente vulneráveis (Android 6 e anteriores, wpa_supplicant 2.4–2.6), um reinício completo da chave permitindo acesso total de leitura. Quase todos os OS no mercado foram afetados em graus variáveis. A indústria respondeu rapidamente: a Microsoft, a Apple, a Google e as distribuições Linux corrigiram todas entre outubro de 2017 e janeiro de 2018; os routers seguiram entre o final de 2017 e meados de 2018. Em 2026, num OS atualizado, o KRACK já não é explorável. A lição: a complexidade do handshake de 4 vias tinha-se tornado uma superfície de vulnerabilidade — o WPA3 substitui-o por concepção.

Ataque PMKID (2018)

Descoberto por Jens Steube, criador do hashcat, em agosto de 2018. Em certos APs WPA2, o primeiro frame de associação expunha o PMKID (Pairwise Master Key Identifier) — um hash derivado da palavra-passe Wi-Fi. Um atacante podia capturar este PMKID sem esperar que qualquer cliente se ligasse, depois lançar um ataque de força bruta ou de dicionário offline contra o hash sem mais interação com a rede. Contra uma palavra-passe curta ou comum, o tempo de quebra caía para algumas horas numa GPU de consumo. Contra uma palavra-passe longa e forte (12+ caracteres mistos), o ataque continuava teoricamente dispendioso mas não impossível. Esta falha em particular acelerou a adoção do WPA3 — porque revelou que simplesmente colocar um AP em serviço expunha material criptográfico a ataques offline, independentemente do comportamento do cliente.

Ataque de dicionário offline contra o handshake de 4 vias

Mesmo sem PMKID, um atacante que captura um handshake de 4 vias completo (esperando que um cliente se ligue, ou forçando uma desautenticação seguida de reconexão) pode tentar um ataque de força bruta offline contra o PSK. A ferramenta hashcat com uma GPU moderna (RTX 4090) testa várias centenas de milhares de candidatos por segundo contra o WPA2-PSK. Contra um dicionário de palavras-passe comuns (rockyou.txt, bases de dados de violações), uma palavra-passe Wi-Fi fraca cai em minutos. Contra uma palavra-passe forte (12+ caracteres aleatórios), a complexidade combinatória torna o ataque economicamente inviável para um alvo doméstico. Mas contra um ponto de acesso especificamente identificado (uma empresa, um local sensível), um atacante dedicado pode investir recursos. O WPA3 elimina esta classe de ataque via SAE — um atacante que captura o handshake SAE não consegue testar palavras-passe candidatas offline.

O que o WPA3 oferece concretamente: SAE, PFS, OWE

O WPA3 não é apenas uma atualização incremental. Três mecanismos estruturais mudam o que um atacante pode tecnicamente fazer contra uma rede Wi-Fi.

SAE (Simultaneous Authentication of Equals)

É o coração do WPA3 e o substituto do antigo PSK. O SAE baseia-se no protocolo Dragonfly (formalizado nos RFC 7664 e RFC 8146). Em vez de uma palavra-passe partilhada que deriva diretamente a chave de sessão, o SAE usa uma troca Diffie-Hellman autenticada pela palavra-passe: cliente e AP trocam elementos criptográficos públicos, provam que conhecem a palavra-passe sem a revelar, e derivam uma chave de sessão única. Consequência operacional: capturar o handshake SAE não produz qualquer material explorável offline. Um atacante que intercetou toda a troca não consegue testar palavras-passe candidatas em casa na sua GPU. O único ataque restante é online — tem de consultar diretamente o AP a cada tentativa, o que é observável e limitável em frequência. O custo de um ataque de dicionário multiplica-se em várias ordens de grandeza. O SAE torna os ataques de dicionário offline — que funcionavam contra o WPA2-PSK com palavras-passe moderadas — economicamente impraticáveis.

Nota técnica: o SAE Dragonfly foi sujeito a uma análise criptográfica crítica. As vulnerabilidades Dragonblood (2019, novamente Mathy Vanhoef) identificaram canais laterais temporais em algumas implementações iniciais — corrigidos no WPA3 R2 (2020). Desde o WPA3 R3 (2022), o protocolo inclui o H2E (Hash-to-Element) que reforça definitivamente contra estes canais laterais. As implementações modernas são consideradas robustas.

Perfect Forward Secrecy (PFS)

Sob o WPA2, se um atacante paciente registar todo o tráfego cifrado de uma rede durante meses e acabar por recuperar o PSK (roubando fisicamente o router, ou através de uma fuga da palavra-passe), pode decifrar retroativamente todo o tráfego registado. É uma ausência completa de Forward Secrecy. O WPA3 ativa o PFS por predefinição: cada sessão gera uma chave efémera única, derivada da troca SAE mas independente da palavra-passe de longo prazo. Comprometer a palavra-passe não produz quaisquer chaves de sessão passadas. É a mesma propriedade do TLS 1.3 na web, estendida ao Wi-Fi. Para a maioria dos utilizadores domésticos, o impacto direto é limitado (quem regista o tráfego Wi-Fi cifrado por precaução?), mas para ambientes de elevado risco (escritório de advogados, consultório médico, jornalista), é uma proteção estruturalmente importante.

OWE (Opportunistic Wireless Encryption)

A melhoria mais visível para os utilizadores finais, porque muda o que acontece nas redes Wi-Fi públicas "abertas" (cafés, hotéis, aeroportos). Numa rede WPA2 aberta ou não cifrada, qualquer cliente ligado pode intercetar o tráfego de rádio de outros clientes com uma ferramenta como o Wireshark em modo monitor. É o clássico ataque de café — alguém captura os cookies de sessão de outro cliente no mesmo Wi-Fi. O OWE, formalizado no RFC 8110, introduz a cifragem oportunista: sem uma palavra-passe partilhada, cada cliente negoceia automaticamente uma chave Diffie-Hellman com o AP no momento da ligação, e todo o tráfego de rádio entre esse cliente e o AP é cifrado com uma chave exclusiva dele. Consequência: outro cliente no mesmo Wi-Fi já não pode intercetar o tráfego, mesmo com uma configuração Wireshark sofisticada. O operador do hotspot, no entanto, continua a ver o tráfego em texto simples do lado da infraestrutura (e permanece exposto a fugas SNI/DNS — daí a necessidade de uma VPN por cima; ver riscos do Wi-Fi público em 2026).

Em 2026, o OWE começa a ser implementado em cadeias hoteleiras e em alguns locais públicos avançados (universidades norte-americanas, grandes empresas). A adoção generalizada ainda é parcial — muitos hotspots permanecem em ligações abertas não cifradas, ou em WPA2-PSK com a palavra-passe exposta ao balcão.

Tabela comparativa: WPA2 vs WPA3

Critério	WPA2	WPA3
Ano de publicação	2004	2018
Cifragem de dados	AES-CCMP 128 bits	AES-CCMP 128 bits (Personal) ou GCMP-256 (Enterprise)
Autenticação	PSK (Pre-Shared Key)	SAE (Simultaneous Authentication of Equals)
Forward Secrecy	Não	Sim (por predefinição)
Ataque de dicionário offline	Possível (PMKID, handshake de 4 vias)	Impossível (o SAE resiste por construção)
Redes abertas	Sem cifragem	OWE (cifragem oportunista)
Management Frame Protection	Opcional	Obrigatória
Modo Enterprise	802.1X + AES-128	802.1X + AES-256 (modo 192 bits)
Compatibilidade retroativa	—	Modo de transição WPA2/WPA3 disponível
Vulnerabilidades críticas conhecidas	KRACK 2017, PMKID 2018 (corrigidas)	Dragonblood 2019 (corrigida R2/R3)

Ler a tabela. Na primitiva de cifragem, muda pouco — o AES continua a ser a base e isso está correto. A diferença está na autenticação (SAE vs PSK), na gestão das chaves de sessão (PFS por predefinição) e nas redes abertas (OWE). São precisamente os três eixos onde o WPA2 mostrou os seus limites arquiteturais. O WPA3 não "quebra" o WPA2 — substitui os componentes problemáticos por designs resistentes às classes de ataque conhecidas.

Quem suporta WPA3 em 2026 — estado da implementação

A adoção do WPA3 foi lenta porque depende de três camadas que têm todas de acompanhar: o router, os clientes e o firmware. Estado do mercado em meados de 2026:

Routers fornecidos pelos operadores. Os routers recentes dos principais operadores em Portugal e na Europa suportam WPA3 em modo de transição (retrocompatível com clientes WPA2 mais antigos). Os routers Wi-Fi 6 (desde 2019) e os modelos Wi-Fi 7 (desde 2023) suportam WPA3 de forma nativa. Os modelos de gateway mais antigos permanecem bloqueados no WPA2 sem caminho de atualização. Se tiver um router fornecido antes de 2020, solicite uma substituição de hardware ao seu operador ou contorne-o com o seu próprio router Wi-Fi 6.

Smartphones e tablets. Apple: iPhone XS, XR e posteriores com iOS 13+ (2018), iPad Pro 2018+ com iPadOS 13+. Em 2026, todos os iPhone ou iPad ativos no mercado suportam WPA3. Android: a partir do Android 10 (2019) ao nível do OS, mas o suporte efetivo depende do chipset Wi-Fi do telemóvel. Samsung Galaxy S10+ (2019), Pixel 4 (2019) e posteriores suportam WPA3. Nos dispositivos Android de gama de entrada, o suporte pode estar ausente. Verifique em Definições → Acerca → Especificações.

Computadores. O Windows 10 build 2004 (maio de 2020) adiciona suporte WPA3 à pilha Wi-Fi; o Windows 11 suporta-o nativamente. Linux com wpa_supplicant 2.10+ ou iwd. macOS Big Sur (2020) e posteriores. ChromeOS desde 2020. Em 2026, todos os OS de desktop ativos suportam WPA3, exceto instalações antigas sem manutenção.

Objetos ligados (IoT). O elo fraco. Muitos dispositivos IoT implementados entre 2015 e 2020 (câmaras IP, tomadas inteligentes, termostatos Nest mais antigos, certas luzes Philips Hue) estão presos no WPA2-PSK e nunca receberão firmware WPA3. Os dispositivos mais recentes (pós-2022) suportam na sua maioria WPA3 — mas o ciclo de substituição IoT é longo (5–10 anos). Consequência prática: enquanto tiver um dispositivo apenas-WPA2 na sua rede, tem de permanecer em modo de transição ou criar um SSID separado para o IoT.

Modo de transição WPA2/WPA3 — a configuração recomendada. Todos os routers WPA3 suportam um modo misto em que o SSID aceita ambos os protocolos em simultâneo. Os clientes WPA3 negoceiam WPA3; os clientes WPA2 negoceiam WPA2. É a configuração recomendada para um agregado misto: beneficia da proteção WPA3 nos dispositivos modernos sem comprometer os dispositivos IoT mais antigos. Ressalva: o modo de transição é teoricamente vulnerável a ataques de downgrade (forçar um cliente a falar WPA2 mesmo quando o WPA3 está disponível) — para uso doméstico, o risco é marginal; para um ambiente profissional sensível, considere mudar para WPA3-only.

Escolha editorial

4.6 / 5

Complete a segurança do seu Wi-Fi com uma VPN auditada

Auditoria no-log Deloitte 2024 · Kill switch de sistema · Garantia de devolução do dinheiro em 30 dias

Auditoria Deloitte 2024Garantia de 30 dias14M+ usuários

Ver a oferta

O que fazer se o seu hardware não suportar WPA3

Se o seu router ainda estiver no WPA2 e não puder substituí-lo agora, várias mitigações reduzem o risco residual sem exigir novo hardware.

Palavra-passe Wi-Fi longa e forte. É a medida de maior impacto com esforço mínimo. Uma palavra-passe mista de 16+ caracteres (letras, números, símbolos) torna os ataques de dicionário offline economicamente inviáveis mesmo em WPA2. Uma palavra-passe curta (8 caracteres, palavra de dicionário) cai em poucas horas numa GPU de consumo. O gerador de um gestor de palavras-passe (NordPass, 1Password, Bitwarden) trata disto em 10 segundos — a palavra-passe só precisa de ser introduzida uma vez por dispositivo, pelo que não há desvantagem ergonómica.

Firmware do router atualizado. Muitos routers receberam correções KRACK e PMKID entre 2018 e 2020. Verifique a versão atual do firmware na interface de administração e atualize-a se existir uma versão mais recente. Nos routers fornecidos pelos operadores isto é normalmente automático, mas pode estar desativado — verifique.

Desative o WPS (Wi-Fi Protected Setup). O WPS, o mecanismo "botão para emparelhar rapidamente", tem vulnerabilidades históricas (Reaver, 2011) que permitem quebrar o PIN WPS em poucas horas e depois recuperar o PSK. Desativar o WPS no painel de administração do router fecha este vetor de ataque independentemente de WPA2 vs WPA3.

SSID separado para o IoT. Se tiver objetos ligados que exijam WPA2-PSK, crie um segundo SSID dedicado (ex. "HomeIoT") com uma palavra-passe distinta, e isole-o da sua rede principal através da configuração do router (VLAN ou isolamento de clientes). Resultado: se um dispositivo IoT for comprometido (uma câmara IP com firmware sem manutenção), não dá acesso ao resto da rede doméstica.

Desativar o broadcast do SSID — valor limitado. Ocultar o nome da rede ("broadcast do SSID desligado") não oferece qualquer proteção real — um atacante identifica o SSID no momento em que um cliente legítimo se liga. É uma medida de redução da visibilidade de superfície sem qualquer acréscimo de segurança relevante. Opcional.

VPN por cima, sobretudo em mobilidade. Em Wi-Fi públicos WPA2-PSK ou abertos, uma VPN continua a ser a defesa estrutural independentemente da versão do Wi-Fi. Cifra todo o tráfego no ponto de saída do dispositivo, neutralizando os ataques à rede local (sniffing, ARP spoofing, Evil Twin). Em casa, usar uma VPN é mais uma questão de privacidade face ao ISP do que de segurança Wi-Fi. A nossa análise NordVPN 2026 trata disto em detalhe.

Resumo: escolha prática por contexto

Três perfis cobrem a decisão para a maioria dos utilizadores em 2026.

Perfil 1 — Rede doméstica padrão. O WPA2-PSK com uma palavra-passe longa continua razoável. Ative o WPA3 se o seu router o suportar (modo de transição para compatibilidade IoT). Não é urgente substituir o router só por isto, mas faça-o no próximo ciclo de renovação. Desative o WPS, mantenha o firmware atualizado.

Perfil 2 — Wi-Fi público. As redes WPA2 ou abertas continuam a ser maioritárias em 2026; o OWE ainda é raro. A proteção vem principalmente da VPN, não do protocolo Wi-Fi. Ative a VPN com kill switch antes de se ligar. Verifique fugas com a nossa ferramenta DNS Leak Test. Desative a partilha de ficheiros.

Perfil 3 — Ambiente sensível (escritório de advogados, home office com dados confidenciais). Mude para WPA3-only se possível (segregue o IoT da rede principal), Management Frame Protection obrigatória, auditoria Wi-Fi regular com uma ferramenta profissional (Kismet, Wireshark). Considere o modo Enterprise (802.1X com um servidor RADIUS) em vez do Personal. A nossa auditoria VPN completa em 9 testes cobre a camada complementar.

Indo mais longe

O WPA3 corrige as limitações estruturais do WPA2 sem tornar o padrão mais antigo imediatamente obsoleto — uma rede WPA2-PSK com uma palavra-passe longa e firmware atualizado continua razoável para uso doméstico padrão em 2026. Os contributos decisivos do WPA3 estão nos ataques de dicionário offline (SAE), na proteção retroativa (PFS) e nas redes abertas (OWE). Em Wi-Fi público, estes ganhos contam — mas não substituem uma VPN para fechar as fugas SNI/DNS e neutralizar os ataques Evil Twin. Consulte também o nosso guia sobre os riscos do Wi-Fi público em 2026 que cobre toda a pilha defensiva, e kill switch VPN explicado sobre a peça de configuração do lado do cliente não negociável.

Segurança Wi-Fi e de rede — guias relacionados

Artigo publicado a 29 de maio de 2026. Metodologia: síntese da documentação oficial da Wi-Fi Alliance (certificações WPA3 R1/R2/R3, especificações públicas), dos RFC IETF relevantes (RFC 7664 Dragonfly, RFC 8110 OWE, RFC 8146 esclarecimentos Dragonfly) e das publicações académicas sobre o KRACK (CCS 2017, Vanhoef & Piessens), o PMKID (Steube 2018) e o Dragonblood (NDSS 2019). Testado de forma cruzada num BT Smart Hub 2, num Eero Pro 6 (rede Comcast) e num router ASUS Wi-Fi 6 entre março e maio de 2026.