思科的LEAP(輕型可擴展身份驗證協(xié)議)是一個專有的、IEEE 802.1X端口訪問協(xié)議標準批準之前的變體。802.1X是一個框架，讓一臺身份識別服務(wù)器在批準無線用戶進入接入點的分布式網(wǎng)絡(luò)(也就是接入點連接的有線網(wǎng)絡(luò))之前驗證那個無線用戶的證書。802.1X能夠與許多不同的證書一起使用，如口令、令牌和證書等。這是通過讓802.1X的請求和回答攜帶任何種類的EAP(可擴展身份驗證協(xié)議)來完成的。

思科LEAP是這些種類的EAP之一，旨在提供口令身份識別。當使用LEAP的時候，接入點查驗這個客戶機的用戶名，在客戶機和身份識別服務(wù)器轉(zhuǎn)發(fā)RADIUS(遠程認證撥入用戶服務(wù))信息。這臺身份認證服務(wù)器使用MS-CHAP(微軟質(zhì)詢握手身份驗證協(xié)議)查驗客戶機的口令。這臺客戶機不發(fā)送其口令，它使用這個口令和盤問生成一個hash(哈希)。這臺服務(wù)器生成自己的hash，并且將這個hash與客戶機發(fā)來的hash值進行比較。如果相匹配，這個客戶機就被接受了。然后，另一個MS-CHAP交換讓客戶機識別服務(wù)器的身份。當雙方都滿意時，客戶機和服務(wù)器就交換加密的密鑰，這樣，在這個過程中發(fā)送的數(shù)據(jù)就可以受到WEP的保護。

遺憾的是，LEAP容易受到字典攻擊。首先，用戶名是在沒有加密的情況下發(fā)送的，每一個人都可以發(fā)現(xiàn)它。第二，使用字典中的詞匯生成的hash值比較客戶機發(fā)出的hash就能夠破解(或者猜出)口令。還有一些共享的軟件工具能夠自動進行破解。這些軟件工具包括Anwrap、Asleap和THC-LEAPcracker。使用非常長的、隨機的口令有助于阻止字典攻擊。但是，這種繞過漏洞的方法是不實際的，因為許多WLAN與現(xiàn)有的用戶名(如Windows域名)和口令一起使用LEAP。事實上，這就是LEAP為什么容易部署的原因。

還有許多能夠與802.1X一起使用的其它陌生的EAP類型。例如，EAP-TLS支持基于數(shù)字證書的雙向認證。PEAP(保護的EAP)支持在加密的TLS通道上的MS-CHAPv2口令認證，從而防止偷窺和字典攻擊。事實上，有40多種定義的EAP類型。有些比LEAP弱一些(如EAP-MD5)，有些功能更強大一些(如EAP-TLS和PEAP)。當然，有一些類型的EAP比LEAP更難使用。例如，要使用EAP-TLS，你的客戶機必須要有證書。沒有一種EAP類型能夠滿足每一個人的需求。

與WPA2有關(guān)的協(xié)議如何呢?WPA協(xié)議第二版是Wi-Fi聯(lián)盟管理的一個認證計劃。正確采用符合IEEE 802.11i增強安全標準的部件的產(chǎn)品都可以通過WPA2測試。當你購買支持WPA2的無線產(chǎn)品時，這種產(chǎn)品將采用802.1X身份識別和AES加密。這種產(chǎn)品可能與EAP-TLS一起支持802.1X，也可能支持其它的EAP類型。因此，WPA2提供了比LEAP功能更強大的身份識別，以及更強大的數(shù)據(jù)加密。

但是，選擇一個EAP類型的協(xié)議與WPA2協(xié)議一起使用要留給消費者做出決定。因此，安全最終與配置有關(guān)，如何做出決定取決于你的WLAN。但是，大多數(shù)使用WPA2協(xié)議的WLAN都使用功能更強大的EAP類型的協(xié)議，而不是使用LEAP。部署WPA2是很復(fù)雜的，特別是在擁有多種客戶卡和操作系統(tǒng)的網(wǎng)絡(luò)中。但是，在一家廠商的WLAN中與PEAP一起使用WPA2協(xié)議大約同部署思科LEAP一樣費力。