# WPA3-Enterprise & EAP-TLS 2026: คู่มือ WiFi Security ระดับองค์กรสำหรับ SME ไทย
ในยุคที่พนักงานองค์กรพกพาอุปกรณ์ส่วนตัวเข้ามาเชื่อมต่อ WiFi (BYOD) และมีอุปกรณ์ IoT จำนวนมหาศาลในออฟฟิศ การใช้ WiFi รหัสผ่านเดียว (PSK) แบบที่ใช้กันทั่วไปกลายเป็นจุดอ่อนใหญ่ของ Cyber Security ทันที พนักงานคนเดียวที่ลาออกหรือทำให้รหัสผ่านหลุด หมายถึงทั้งบริษัทต้องเปลี่ยนรหัสและตั้งค่าอุปกรณ์ใหม่ทั้งหมด
ในปี 2026 มาตรฐาน WPA3-Enterprise ที่บังคับใช้ EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) กลายเป็น Best Practice สำหรับ WiFi องค์กร เพราะให้การยืนยันตัวตนด้วยใบรับรองดิจิทัล (Certificate) แทนรหัสผ่าน เพิกถอนสิทธิรายบุคคลได้ทันที และมีการเข้ารหัสที่ทนต่อการโจมตี Offline Brute-Force
บทความนี้จะอธิบายว่า WPA3-Enterprise กับ EAP-TLS คืออะไร แตกต่างจาก WPA2/PSK อย่างไร พร้อมขั้นตอนการ Deploy ระบบจริงในออฟฟิศ SME ไทยภายใน 1 สัปดาห์ ด้วยงบประมาณที่จับต้องได้
ทำไม WPA2-PSK ไม่ปลอดภัยพอในปี 2026
WPA2-Personal (PSK) เป็นระบบที่ทุก SME ไทยใช้กันมายาวนาน หลักการคือ AP และอุปกรณ์ Client ใช้รหัสผ่านเดียวกัน แล้ว Derive ออกมาเป็น Pairwise Master Key (PMK) แต่จุดอ่อนหลักของระบบนี้คือ
ประการแรก รหัสผ่านเดียวใช้ทั้งบริษัท ใครก็ตามที่ได้รหัสไป สามารถเข้ารหัสและถอดรหัสทราฟฟิกของผู้ใช้คนอื่นได้ทั้งหมดในเครือข่าย ประการที่สอง KRACK Attack (2017) และ PMKID Attack (2018) ทำให้ผู้โจมตีสามารถดักจับ Handshake และ Crack รหัสแบบ Offline ได้ภายในไม่กี่ชั่วโมงด้วย GPU ปัจจุบัน ประการที่สาม Evil Twin Attack ผู้โจมตีตั้ง AP ปลอมที่มีชื่อเหมือน WiFi องค์กร ผู้ใช้เผลอเชื่อมต่อ ส่งผลให้ทราฟฟิกถูกดักจับ
WPA3-Personal (SAE) แก้ปัญหา Offline Crack ได้ แต่ยังคงใช้รหัสผ่านเดียวร่วมกัน ไม่เหมาะสำหรับองค์กรที่มีพนักงานเข้า-ออกบ่อย
WPA3-Enterprise + EAP-TLS คืออะไร
WPA3-Enterprise คือโหมดของ WPA3 ที่ใช้ระบบ 802.1X Authentication ผ่าน RADIUS Server แทน PSK ส่วน EAP-TLS คือหนึ่งในวิธีการยืนยันตัวตนที่แข็งแกร่งที่สุด โดยใช้ Certificate ทั้งสองฝั่ง (Mutual Authentication) ทั้ง Server และ Client ต้องมีใบรับรองที่ลงนามโดย CA (Certificate Authority) ที่เชื่อถือได้
ขั้นตอนการเชื่อมต่อมีดังนี้: Client ส่ง Username พร้อม Certificate ของตัวเองไปยัง AP, AP ส่งต่อไปยัง RADIUS Server ผ่าน Protocol RADIUS, RADIUS ตรวจสอบ Certificate กับ CA, ถ้าถูกต้องจึงตอบ Accept พร้อมส่ง Master Session Key (MSK) ให้ AP เพื่อเข้ารหัสทราฟฟิกของ Client คนนั้น ๆ แต่ละคนใช้คีย์ของตัวเอง ไม่ปนกัน
จุดเด่นของ EAP-TLS คือ ไม่มีรหัสผ่านส่งผ่านอากาศ (Phishing-resistant), เพิกถอนสิทธิรายบุคคลได้ทันทีโดย Revoke Certificate, ป้องกัน Evil Twin ได้เพราะ Client ตรวจสอบ RADIUS Certificate ก่อน และให้คีย์เข้ารหัสที่ไม่ซ้ำกันต่อ Session
เปรียบเทียบ WPA2-PSK vs WPA3-Personal vs WPA3-Enterprise EAP-TLS
| ปัจจัย | WPA2-PSK | WPA3-Personal (SAE) | WPA3-Enterprise EAP-TLS |
|---|---|---|---|
| Authentication | Shared Password | Shared Password (SAE) | Per-User Certificate |
| Offline Crack | เสี่ยง | ป้องกันได้ | ป้องกันได้ |
| Evil Twin | ป้องกันยาก | ป้องกันยาก | ป้องกันได้ (Mutual Auth) |
| Phishing-resistant | ไม่มี | ไม่มี | มี |
| Revoke ผู้ใช้ | เปลี่ยนรหัสทั้งบริษัท | เปลี่ยนรหัสทั้งบริษัท | Revoke Certificate รายคน |
| ความซับซ้อนในการ Deploy | ต่ำ | ต่ำ | ปานกลาง-สูง |
| ต้นทุน Hardware | ต่ำ | ต่ำ | ต่ำ-ปานกลาง (RADIUS Server) |
| เหมาะกับ | บ้าน/SOHO | บ้าน/SOHO | องค์กร, BYOD, IoT |
องค์ประกอบของระบบ WPA3-Enterprise EAP-TLS
ระบบที่สมบูรณ์ประกอบด้วย 5 องค์ประกอบหลัก ได้แก่ Wireless AP/Controller, RADIUS Server, Certificate Authority (CA), MDM/Provisioning System และ Directory Service (LDAP/AD)
Wireless AP/Controller ต้องรองรับ WPA3-Enterprise และ 802.1X เช่น Ubiquiti UniFi UDM-Pro, Aruba InstantOn, Mikrotik หรือ Cisco Meraki รุ่นปัจจุบันรองรับครบทุกตัว สำคัญคือต้องเปิด Management Frame Protection (MFP) เพื่อป้องกัน Deauthentication Attack
RADIUS Server ตัวที่นิยมที่สุดในวงการ Open Source คือ FreeRADIUS รุ่น 3.x หรือ 4.x สำหรับองค์กรที่ต้องการ Cloud-managed มี Solution เช่น JumpCloud RADIUS-as-a-Service, Cloud RADIUS หรือ Microsoft NPS
Certificate Authority สามารถใช้ Microsoft AD CS, Smallstep CA, EJBCA หรือ HashiCorp Vault PKI สำหรับ SME ไทยที่ใช้ Windows Server อยู่แล้ว AD CS ใช้งานง่ายที่สุด
MDM/Provisioning เพื่อแจกจ่าย Certificate ให้อุปกรณ์พนักงาน เช่น Microsoft Intune, JAMF, Hexnode หรือ Workspace ONE สำหรับ SME ขนาดเล็ก สามารถใช้สคริปต์ติดตั้ง Manual ได้
Directory Service เพื่อเชื่อม Identity ของผู้ใช้กับ Certificate เช่น Active Directory, Azure AD/Entra ID, OpenLDAP หรือ Keycloak
ขั้นตอน Deploy WPA3-Enterprise EAP-TLS ใน 7 วัน
ขั้นตอนต่อไปนี้สามารถทำได้ใน SME ไทยขนาด 20-200 คน ภายใน 1 สัปดาห์
วันที่ 1: ติดตั้ง CA และ FreeRADIUS ติดตั้ง FreeRADIUS บน Ubuntu 22.04 LTS ใช้คำสั่ง `apt install freeradius freeradius-utils` จากนั้นสร้าง Root CA ด้วย `easy-rsa` หรือ Smallstep CLI ตั้ง Validity 5-10 ปี
วันที่ 2: ตั้งค่า EAP-TLS ใน FreeRADIUS แก้ไขไฟล์ `mods-enabled/eap` เปิด `default_eap_type = tls` ตั้ง path ของ CA Certificate, Server Certificate และ Server Key จากนั้นเริ่ม service ด้วย `systemctl restart freeradius`
วันที่ 3: สร้าง Server Certificate ออก Certificate สำหรับ RADIUS Server โดยมี Subject Alternative Name (SAN) เป็น Hostname ของ Server เช่น `radius.company.local` ห้ามใช้ Certificate Self-signed ใน Production
วันที่ 4: ตั้งค่า Wireless AP/Controller เพิ่ม SSID ใหม่ เช่น `Company-Secure` ตั้งค่า Security เป็น WPA3-Enterprise (802.1X) ใส่ IP RADIUS Server, RADIUS Secret และเปิด MFP Required
วันที่ 5: ออก Client Certificate ให้พนักงาน สร้างสคริปต์ออก Certificate รายคน Subject เป็น Username (เช่น `john@company.local`) ส่งให้พนักงานติดตั้งบน Laptop และ Smartphone ผ่าน MDM หรือ USB
วันที่ 6: ทดสอบและบันทึกผล ใช้ wpa_supplicant หรืออุปกรณ์จริงทดสอบเชื่อมต่อ ตรวจสอบ Log ใน FreeRADIUS, สร้าง CRL (Certificate Revocation List) สำหรับเพิกถอนสิทธิ และเปิด OCSP Stapling
วันที่ 7: Migrate User และ Decommission WPA2-PSK เลื่อน SSID เก่าไปเป็น Guest Network แยก VLAN ออกจากเครือข่ายหลัก เปิด WPA3-Enterprise เป็น Default และฝึกอบรมพนักงานวิธีติดตั้ง Certificate
Best Practices ที่ห้ามลืม
ในการ Deploy ระบบจริง ให้ความสำคัญกับการตั้งค่า Server Certificate Validation บน Client โดยเฉพาะอย่างยิ่ง iOS, Android และ Windows ต้องใส่ Hostname ของ RADIUS Server เพื่อป้องกัน Evil Twin RADIUS
เปิดใช้ OCSP หรือ CRL เพื่อสามารถเพิกถอน Certificate ของพนักงานที่ลาออกได้ทันที จัดทำเอกสาร Certificate Lifecycle ที่ระบุชัดว่าใครออก Certificate, อายุการใช้งาน, ขั้นตอนการ Revoke และผู้รับผิดชอบ ตั้ง VLAN แยก สำหรับอุปกรณ์ IoT, Guest, Staff เพื่อจำกัด Attack Surface เปิด MFP (Management Frame Protection) ใน WPA3 เพื่อป้องกัน Deauthentication Attack ที่ใช้บีบ Client ออกจากเครือข่าย
ต้นทุนสำหรับ SME ไทย
สำหรับ SME ขนาด 50 คน 3 ชั้น ใช้ AP ประมาณ 5-8 ตัว ต้นทุนเริ่มต้นโดยรวมอยู่ที่ 45,000-80,000 บาท ครั้งเดียว ประกอบด้วย AP คุณภาพ Enterprise (Ubiquiti หรือ Aruba) 25,000-50,000 บาท, Server เล็กสำหรับ FreeRADIUS หรือ VM 10,000-20,000 บาท, ค่าออก Certificate และเซ็ตอัพระบบ 10,000 บาท
ค่าใช้จ่ายต่อปีอยู่ที่ 5,000-15,000 บาท สำหรับ License MDM และ CA Maintenance เทียบกับความเสี่ยงข้อมูลรั่วไหลที่อาจเสียหายระดับล้านบาทต่อเหตุการณ์ ถือว่าคุ้มค่ามาก
สรุปและขั้นตอนต่อไป
WPA3-Enterprise + EAP-TLS เป็นมาตรฐานที่จำเป็นสำหรับองค์กรที่ใส่ใจ Cyber Security ในปี 2026 การลงทุนเพียงครั้งเดียว 5-8 หมื่นบาท สามารถยกระดับการป้องกันจาก WiFi PSK ที่อ่อนแอ ไปสู่ระบบ Per-user Certificate ที่ Phishing-resistant และ Revoke ได้ทันที
ขั้นตอนต่อไป:
1. สำรวจอุปกรณ์ AP ปัจจุบันว่ารองรับ WPA3-Enterprise หรือไม่
2. ตัดสินใจระหว่าง On-premise FreeRADIUS หรือ Cloud RADIUS
3. ทำ Pilot Test กับทีม IT 5-10 คนก่อน Roll-out ทั้งบริษัท
4. ปรึกษา ADS FIT เพื่อออกแบบ Network Architecture ที่ปลอดภัยและประหยัดต้นทุน
หากต้องการที่ปรึกษาด้าน Network & Security ที่เข้าใจ SME ไทย ติดต่อทีมงาน ADS FIT ได้ที่ contact@adsfit.co.th หรืออ่านบทความที่เกี่ยวข้องเรื่อง 802.1X, RADIUS, Zero Trust Network และ Network Segmentation บนบล็อกของเรา