高峰

摘 ?要：Wi-Fi是一項(xiàng)方便快捷的技術(shù)。使用得當(dāng)，可以省去布網(wǎng)排線耗時(shí)耗力的工作。使用不當(dāng)，不僅用戶體驗(yàn)差還有可能帶來(lái)信息泄露的風(fēng)險(xiǎn)。該文列舉了Wi-Fi使用中較突出的幾個(gè)安全問(wèn)題并進(jìn)行了闡述，包括無(wú)線密碼的使用、登錄密碼的修改、用戶認(rèn)證、客戶端自動(dòng)連接等。這些問(wèn)題通過(guò)對(duì)應(yīng)的措施可以解決或者起到防范作用。但歸根結(jié)底，沒(méi)有絕對(duì)安全的技術(shù)。想要Wi-Fi安全，增強(qiáng)自我防范意識(shí)，才是真正的安全之道。

關(guān)鍵詞：Wi-Fi ?安全 ?防范

中圖分類號(hào)：TN925 ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ?文章編號(hào)：1672-3791（2019）05（a）-0015-03

Wi-Fi已經(jīng)走進(jìn)千家萬(wàn)戶，成為大多數(shù)人生活中的一部分，除去日常的上網(wǎng)、視頻監(jiān)控這些居家辦公功能外，Wi-Fi還能遠(yuǎn)距離傳輸數(shù)據(jù)，幾公里、幾十公里甚至上百公里都不在話下。麻省理工學(xué)院更是公布了更加高級(jí)的技術(shù)——利用Wi-Fi來(lái)辨別人的身份，輕松捕捉到墻的另一面的人物輪廓，甚至包括心跳和呼吸狀況……

當(dāng)我們?cè)絹?lái)越離不開(kāi)Wi-Fi時(shí)，關(guān)于Wi-Fi的負(fù)面消息也越來(lái)越多。什么蹭網(wǎng)秘笈，什么破解Wi-Fi無(wú)線密碼教程，還有連上Wi-Fi后銀行卡無(wú)故被刷……而這些都是Wi-Fi惹得禍嗎？Wi-Fi到底還能不能好好用了？我們使用Wi-Fi時(shí)應(yīng)該注意什么呢？這些疑惑該文將一一進(jìn)行解答。

Wi-Fi的特性是方便快捷。自己設(shè)定好了一個(gè)無(wú)線路由器SSID（熱點(diǎn)）后，只需要拿出手機(jī)掃一掃無(wú)線網(wǎng)絡(luò)，然后連接這個(gè)SSID就可以了。但如果想要連別人家的無(wú)線路由器呢？于是“蹭網(wǎng)”成了大家熱衷干的一個(gè)事情。拿出手機(jī)掃無(wú)線網(wǎng)絡(luò)，通常都會(huì)出來(lái)幾個(gè)、十幾個(gè)。挑一個(gè)不加密的SSID連一連，哈哈，真的連上了，這感覺(jué)真是太好了。作為無(wú)線路由器的主人，自然不希望在不知情時(shí)有人分享自己的帶寬。因?yàn)閹捠且欢ǖ模玫娜嗽蕉嘧匀痪W(wǎng)絡(luò)越慢。那該怎么辦呢？

開(kāi)啟無(wú)線加密。加密有WEP、WPA、WPA-PSK、WPA2、WPA2-PSK這么幾種。WEP這個(gè)加密過(guò)于薄弱，極易破解，已經(jīng)被淘汰。網(wǎng)上的破解教程大多是針對(duì)WEP。WPA/WPA2使用時(shí)需要外掛一個(gè)驗(yàn)證服務(wù)器用于用戶身份的鑒別。安全性較高但使用極其繁瑣，不適合Wi-Fi使用場(chǎng)景的要求，故不推薦使用。WPA-PSK/WPA2-PSK安全性高，使用方便，推薦使用，尤其是WPA2-PSK?，F(xiàn)在有很多教程號(hào)稱能夠破解WPA-PSK/WPA2-PSK的密碼，實(shí)際上只是字典攻擊。這是一種低效的破解方式，能不能成功，幾乎就靠運(yùn)氣。想要安全，設(shè)置一個(gè)較復(fù)雜的WPA2-PSK密碼，例“Fao5A17jfs1（3）f”，那么想要通過(guò)Wi-Fi來(lái)“蹭網(wǎng)”幾乎沒(méi)有可能。等等，為什么是“幾乎”？

互聯(lián)網(wǎng)最大的貢獻(xiàn)是分享、共享。于是，Wi-Fi無(wú)線密碼也可以分享、共享?！癢iFi萬(wàn)能鑰匙”類的APP應(yīng)運(yùn)而生。有了它們，在走親訪友、購(gòu)物休閑、外出旅游的時(shí)候，可以一鍵破解Wi-Fi密碼。不但可以節(jié)省寶貴的手機(jī)流量，還省去了開(kāi)口求人的麻煩?！癢iFi萬(wàn)能鑰匙”類APP其實(shí)并沒(méi)有破解密碼，其真正原理是，收集用戶手機(jī)上成功連接過(guò)的Wi-Fi賬號(hào)和密碼，并上傳、存儲(chǔ)到APP的服務(wù)器上，等到附近的蹭網(wǎng)者搜索到同一個(gè)網(wǎng)絡(luò)時(shí)，該APP就可以根據(jù)附近熱點(diǎn)的配置信息，從服務(wù)器上自動(dòng)匹配并取得相應(yīng)的密碼，通過(guò)數(shù)據(jù)流量發(fā)送到手機(jī)端，從而完成Wi-Fi連網(wǎng)。所以這個(gè)“幾乎”就是，當(dāng)你使用此類APP時(shí)，有沒(méi)有把自己的無(wú)線密碼進(jìn)行了分享。如果有，當(dāng)然密碼設(shè)置得再?gòu)?fù)雜也毫無(wú)用處。大家可能會(huì)說(shuō)，我并沒(méi)有去分享啊，怎么還是被蹭網(wǎng)了，這是什么情況？

首先安裝此類APP時(shí)，以“WiFi萬(wàn)能鑰匙”為例（見(jiàn)圖1）。不要勾選“自動(dòng)分享熱點(diǎn)”，要勾選“分享前詢問(wèn)我”。

當(dāng)你發(fā)現(xiàn)自家Wi-Fi密碼已在不知情的狀況下被“WiFi萬(wàn)能鑰匙”收錄時(shí)，除了及時(shí)在路由器管理界面修改SSID名稱（使服務(wù)器找不到你的Wi-Fi）、修改Wi-Fi無(wú)線密碼（“蹭客”將無(wú)法驗(yàn)證成功）之外，還可以通過(guò)提出申請(qǐng)，令A(yù)PP運(yùn)營(yíng)者將你的Wi-Fi賬號(hào)和密碼在服務(wù)器中剔除。具體方法請(qǐng)大家自行搜索。

單純從安全的角度，還有兩個(gè)措施可以進(jìn)行補(bǔ)充。

一是開(kāi)啟無(wú)線白名單的控制（ACL）。把允許接入的客戶端的MAC加入白名單。二是隱藏SSID，使客戶端無(wú)法掃描到。這兩個(gè)方式會(huì)增加安全性，但不太推薦，因?yàn)樵谌粘Ｊ褂弥袝?huì)帶來(lái)一些麻煩。例如客人來(lái)的時(shí)候，客戶端無(wú)法掃到SSID，就必須手動(dòng)填寫SSID和無(wú)線密碼然后再連接，又因?yàn)榇丝蛻舳说腗AC不在白名單里，還需要主人添加或者臨時(shí)關(guān)閉白名單。所以這兩個(gè)方式比較適合流動(dòng)性低的場(chǎng)景。

另外，及時(shí)修改無(wú)線設(shè)備默認(rèn)的登錄用戶名、密碼也是一個(gè)必要的習(xí)慣。2016年美國(guó)網(wǎng)絡(luò)大癱瘓，調(diào)查時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攝像頭成為“肉雞”是一個(gè)很重要的原因。黑客們通過(guò)互聯(lián)網(wǎng)輕易地控制了沒(méi)有修改過(guò)用戶名密碼的網(wǎng)絡(luò)攝像頭。同樣道理，無(wú)線接入設(shè)備也可以被控制，一旦被控制，還能不知道無(wú)線密碼？近年來(lái)隨著大家對(duì)網(wǎng)絡(luò)安全日益重視，很多設(shè)備首次使用的時(shí)候會(huì)要求設(shè)置新的登錄密碼（見(jiàn)圖2）。

作為運(yùn)營(yíng)商或者企業(yè)用戶還有一個(gè)比較好的方式就是接入時(shí)進(jìn)行用戶身份的認(rèn)證，例如短信認(rèn)證、微信認(rèn)證、Web認(rèn)證……通過(guò)這種方式可以對(duì)接入用戶進(jìn)行控制，甚至都不需要對(duì)無(wú)線設(shè)備進(jìn)行無(wú)線加密。當(dāng)然，并不推薦這樣做，因?yàn)闊o(wú)線加密最重要的工作之一就是對(duì)傳輸?shù)臄?shù)據(jù)加密。不開(kāi)啟加密，任何人可以輕松地使用無(wú)線抓包工具對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行解讀，什么QQ、銀行卡賬戶密碼、聊天內(nèi)容……

以上都是從接入點(diǎn)的角度加強(qiáng)安全性，那么從客戶端的角度，我們需要注意什么？

還是先從蹭網(wǎng)談起。強(qiáng)烈建議大家不要連接所謂的“免費(fèi)”Wi-Fi，即使連接時(shí)需要輸入無(wú)線密碼。因?yàn)檫B接此類Wi-Fi后，你的數(shù)據(jù)都將從接入點(diǎn)轉(zhuǎn)發(fā)，你的信息都有可能泄露。如果還點(diǎn)開(kāi)彈出頁(yè)面鏈接——這類頁(yè)面往往隱藏性很強(qiáng)，廣告、警告、紅包——客戶端（手機(jī)、PAD、筆記本電腦等）可能就會(huì)中病毒，后果會(huì)相當(dāng)嚴(yán)重。不過(guò)我們也不要因噎廢食，做好防范才是最重要的。對(duì)不常用的Wi-Fi首先做到不亂點(diǎn)彈出的頁(yè)面或者鏈接。其次不要進(jìn)行敏感涉及隱私的操作，比如轉(zhuǎn)賬、傳遞賬號(hào)密碼等。如果要用，斷開(kāi)WI-Fi使用運(yùn)營(yíng)商網(wǎng)絡(luò)。最后，手機(jī)會(huì)把使用過(guò)的Wi-Fi熱點(diǎn)都記錄下來(lái)，一旦遇到同名的熱點(diǎn)就會(huì)自動(dòng)鏈接。所以在公共區(qū)域盡量不要打開(kāi)Wi-Fi功能，避免自己在不知道的情況下連接上惡意（仿冒）Wi-Fi。針對(duì)這點(diǎn)我們?cè)俣嗾f(shuō)幾句，筆者曾做過(guò)一個(gè)實(shí)驗(yàn)，在一個(gè)公共場(chǎng)合使用抓包工具對(duì)周圍手機(jī)進(jìn)行探測(cè)。通過(guò)技術(shù)手段我們能對(duì)某個(gè)手機(jī)的主人進(jìn)行簡(jiǎn)單的判斷，例如去過(guò)哪個(gè)餐廳，在哪里工作，住在哪里甚至能精確到門牌號(hào)。相信這是大家都不太想分享的信息吧。這個(gè)原理是開(kāi)啟Wi-Fi的客戶端會(huì)定期發(fā)送Probe Req報(bào)文。這個(gè)報(bào)文的作用是根據(jù)自己連接過(guò)的接入點(diǎn)信息主動(dòng)尋找周圍是否有這些接入點(diǎn)并進(jìn)行連接。在圖3中，這個(gè)客戶端發(fā)出大量的Probe Req報(bào)文，其中一個(gè)告訴我們手機(jī)主人去過(guò)S coffee店。

WPS（Wi-Fi安全防護(hù)設(shè)定Wi-Fi Protected Setup）技術(shù)是Wi-Fi的一種可選設(shè)置。啟用WPS設(shè)置，能夠簡(jiǎn)化無(wú)線網(wǎng)絡(luò)配置過(guò)程中繁瑣的步驟，主要是無(wú)線網(wǎng)絡(luò)加密設(shè)置。然而，現(xiàn)實(shí)生活中大家并不了解這個(gè)功能也不知道如何使用，但這個(gè)功能卻帶來(lái)了安全問(wèn)題。WPS所使用的PIN碼能夠被破解從而得到上網(wǎng)密碼。既然又危險(xiǎn)又不好用，還是關(guān)閉WPS功能吧（見(jiàn)圖4）。

該文到這里，大家應(yīng)該對(duì)Wi-Fi網(wǎng)絡(luò)是否安全應(yīng)該有比較清晰的認(rèn)識(shí)了。Wi-Fi的漏洞會(huì)產(chǎn)生一些安全問(wèn)題，但這些問(wèn)題通過(guò)對(duì)應(yīng)的措施可以解決或者起到防范作用。同時(shí)我們自己也要加強(qiáng)防范意識(shí)，試想一下如果把自己家的SSID設(shè)定成家里的門牌號(hào)，甚至還把無(wú)線密碼設(shè)置和SSID一樣，這就是一個(gè)極其糟糕的安全隱患。從思想上重視網(wǎng)絡(luò)安全，才是真正的安全。

參考文獻(xiàn)

[1] 南方都市報(bào).用WiFi萬(wàn)能鑰匙時(shí)到底發(fā)生了什么？先弄清背后原理和用戶協(xié)議[EB/OL].（2018-04-05）[2019-04-08].https：//www.sohu.com/a/227351553_161795.

[2] 博客園.你的攝像頭是如何被攻擊的？你的一切行為都暴露在黑客眼中！[EB/OL].（2018-08-17）[2019-04-08].http：//www.west.cn/info/html/wangluobiancheng/qita/20180817/4513674.html.

[3] IEEE Std 802.11i[S].USA： IEEE，2004.