叶翔:漫谈WiFi安全
发布时间:2018-09-20 08:00:00

一走到某个餐馆或者商场,都要先询问WiFi密码,是不少朋友的生活习惯。现在绝大多数的公共场合,都有免费WiFi提供,智能设备的快速普及,让WiFi的建设遍地开花,从家庭到商场,从地铁公交到高铁基本上公共场合都有WiFi部署,这段时间连飞机上都有了。但是WiFi相关的安全事件也层出不穷,使用免费WiFi导致银行卡被盗刷,家庭WiFi被黑客窃听等等,难道WiFi真的不安全吗?大众应该如何防范?下面就和大家来聊一聊WiFi便捷背后的安全风险有哪些,我们又该如何防范。

在聊WiFi的安全之前,我们先需要大致讲一讲WiFi的一些基本知识。

Wifi的分类

目前市面上来看WiFi大致可以分为四类。

个人WiFi:个人通过电脑或移动手机端开启的WiFi服务。

家庭WiFi,一般由无线路由器将有线网络转化成无线信号,为家庭范围内的成员提供无线网络服务。

公众WiFi:由政府主导进行统一规划,运营商进行WiFi基础设置部署,免费向所有公众开放,以达到无线城市、智慧城市等整体策略的实现。

商业WiFi:

一般由运营商或WiFi设备服务提供商提供的无线解决方案,通过与线下商家合作,在各大商圈、商铺。机场等公共场所进行的WiFi热点布局。

WiFi的协议及认证方式

WiFi在接入和传输过程中,也遵循着一些“法律”,这就是WiFi的协议,这里我们主要说两种协议,Portal协议和802.11i协议。

Portal协议:Portal认证也叫Web认证,一般情况下用户通过登入一个网页输入用户和密码通过认证。

华数提供的i-zhejiang 公众免费WiFi的Portal认证界面

802.11i协议:802.11i由802.11协议进化而来,它推出了WPA2数据加密规格,并支持AES(一种高级的加密算法)、WPS(WiFi保护设置,本意是为了更方便的设置路由器,后面我们会讲到,其实留下了安全隐患)。

了解了WiFi是什么,下面来说说它都有哪些安全隐患,而我们又能做到哪些防范工作。

首先讲个人和家庭WiFi,他们的安全隐患主要有两个。

一是无线路由器本身的安全漏洞。由于一些无线路由器本身设备存在一些芯片漏洞缺陷,当黑客知道了你家无线路由器的型号时,他就可以利用这些漏洞对你发起攻击,而我们要做的就是修改掉我们的SSID原始名称,因为很多厂家的无线路由器原始名称就是他们的设备名称+型号。

二是用户的无线配置不当导致的隐患。我们都知道在家庭中,连接WiFi一般是通过输入PSK(PreShareKey),也就是我们通常说的WiFi密码来登入的,这就给了黑客一些可趁之机,黑客可以通过一些密码破解软件你的密码,从而入侵到你的家庭内网,进行蹭网,更有甚者会进行一些隐私的侦听。这时候我们应该怎么做呢,首先我们应将我们的无线密码修改为复杂程度较高,位数较长的密码,以增大破解的难度,其次我们前面也讲到了,应该选用安全性更高的加密认证方式,如WPA2与AES。再有我们建议禁用路由器中的WPS功能,因为该功能利用路由器默认PIN码直接进行安全设置,虽然方便了操作,但是也同样方便了黑客利用这一快捷方式,跳过你的无线路由密码,直接夺取无线路由器控制权限。现在市面上推出了一些安全无线路由器携带了一些防火墙的功能,如果我们的无线路由器具备这些安全功能选项,我也建议大家打开它。

接下来我们再来说说公众WiFi和商业WiFi,这两种WiFi一般都通过Portal页面认证的方式来登入,所以当我们发现一个WiFi的SSID看起来很正规,比如“KFC”、“杭州免费无线”等等,但是却是可以不通过密码,也不用网页页面认证就可以轻松连入,你要小心了!这很有可能正是黑客放出来的“钓鱼钩”,一旦你连接上了黑客的WiFi,那么你之后访问的网页就容易被修改成钓鱼网站。建议大家平时关闭手机或者电脑的WiFi自动连接功能,因为你可能都没注意这些细节,就已经连上了黑客给你准备的陷阱。

DNS劫持钓鱼网站原理

那么是不是只要连上正规的商业WiFi或公众WiFi就可以放心的使用了呢?也不绝对,由于很多商业WiFi是通过推送广告、大数据分析、增值应用的方式来进行盈利的,这些服务方式本身虽然没有安全问题,但Portal门户网站有可能会遭到黑客的攻击或修改,所以建议大家1、不要轻信WiFi登入页面的一些广告;2、尽量不在公众WiFi下操作网银;3、不去点一些可疑的链接或者下载一些可疑的软件。

聊了这么多的黑客攻击和WiFi安全隐患,但实际上大家也不用过于担心。随着国家对网络安全的重视和WiFi安全技术的发展,更多的安全控制机制正在落到实处,比如WiFi登陆实名制,公众采用短信方式认证,企业WiFi则广泛采用WPA2+Radius,给每个员工分配一个实名账号,极大的提高了无线网络的安全性。此外,银行、支付宝和微信等资金相关的应用都已经加了应用层加密,可以保护用户不被黑客窃取资金和敏感信息。

最后,希望大家提高个人安全意识,加强自我防范,管好自己家的WiFi,尽量不在公众WiFi进行资金和敏感信息相关的操作,尽享WiFi带来的便利。

作者介绍

叶翔 华数集团安全管理部总经理,杭州市网络安全专家库成员。

来源:杭州网   作者:   编辑:周夏