Klucz WPA jest częścią schematu Wi-Fi Protected Access bezpieczeństwa bezprzewodowego Internetu. WPA i jego następca, WPA2, używają wstępnie współdzielonych kluczy, aby zapewnić bardzo silne bezpieczeństwo szyfrowania bezprzewodowej transmisji danych. Klucze te służą do wzajemnego uwierzytelniania komunikacji między urządzeniami bezprzewodowymi, zwykle przy użyciu modelu typu hub-and-spoke, w którym komunikacja z wielu urządzeń jest przesyłana przez router sieci bezprzewodowej, który następnie komunikuje się z Internetem za pomocą połączenia przewodowego. Zmodyfikowana wersja tych protokołów bezpieczeństwa wykorzystuje scentralizowany serwer do obsługi uwierzytelniania użytkowników, zamiast polegać na kluczu WPA, który został udostępniony wszystkim autoryzowanym użytkownikom.
Sieci bezprzewodowe są wszechobecne we współczesnym świecie. Wiele z nich działa jako sieci niezabezpieczone i są bardzo podatne na ataki hakerów. Nie zapewniają prawie żadnej ochrony danych przesyłanych do iz komputerów. Pewne zabezpieczenia można zapewnić poprzez dynamiczną wymianę kluczy bezpieczeństwa między komputerem lub innym urządzeniem mobilnym a serwerem, ale nadal naraża to podstawowe połączenie danych na przechwycenie.
Systemy zabezpieczeń bezprzewodowych WPA i WPA2 usuwają tę lukę w zabezpieczeniach. W większości małych sieci klucz WPA jest sercem tej ochrony. Ten klucz jest udostępniany wszystkim urządzeniom, które mają mieć dostęp do sieci. Najlepiej byłoby, gdyby to udostępnianie odbywało się w trybie offline, dzięki czemu transmisja samego klucza nie jest podatna na przechwycenie.
Klucz WPA składa się z ciągu 256 bitów danych. Może być generowany bezpośrednio przez użytkownika i udostępniany w postaci klucza szesnastkowego o długości 64 cyfr. Jest to jednak nieco kłopotliwa metoda udostępniania klucza szyfrowania i nie umożliwia łatwego zapamiętywania przez użytkowników. Druga opcja udostępniania klucza WPA obejmuje użycie hasła i funkcji wyprowadzania klucza.
Hasła składają się z ciągów maksymalnie 63 znaków ASCII. Wartości liczbowe skojarzone z tymi znakami są następnie łączone z nazwą sieci, znaną jako identyfikator zestawu usług (SSID) i przechodzą przez wiele iteracji funkcji pochodnej. Otrzymane 64 cyfry szesnastkowe są następnie używane jako klucz WPA.
Klucz wygenerowany z hasła i identyfikatora SSID jest potencjalnie bardziej podatny na ataki niż prawdziwie losowy 64-cyfrowy klucz. Długie hasło w połączeniu z nietypowym identyfikatorem SSID utworzy klucz, który jest odporny na ataki typu brute force. Krótkie lub popularne hasło, takie jak „hasło”, w połączeniu ze wspólnym identyfikatorem SSID, takim jak „sieć” lub nazwa konkretnej marki routera, dadzą bezwartościowy klucz. Hakerzy obliczyli już klucze wygenerowane z najczęstszych kombinacji i spróbują ich użyć na początku każdego ataku brute force.