引言当安全专家向普通用户推荐5大IT安全实践时,总会包含这类建议:"避免使用开放WiFi"、"使用开放WiFi时必须启用VPN"、"不要在开放WiFi环境下访问敏感网站(如网银)"等。我的观点是:这都是无稽之谈。但别急着下结论,让我们系统分析所有风险因素。
分析前提对比对象:完全无加密的公共热点(开放WiFi) vs WPA2-PSK加密的公共热点(假设WEP早已淘汰)用户分类:安全意识强的用户 vs 仅需基础网络服务的普通用户风险全景公共热点用户面临的主要威胁(相比家庭/工作网络):
未受SSL/TLS保护的网站会话数据(或未启用Secure Flag的cookie)可能被同网络攻击者窃取,典型风险协议:HTTP网站HTTPS网站但cookie未加密未加密的FTP未启用SSL/TLS或STARTTLS的IMAP/SMTP/POP3HTTP流量注入攻击:可植入漏洞利用代码或社交工程攻击(如诱导下载带毒Flash更新),参考Dark Hotel攻击案例SSLStrip工具攻击:强制用户使用明文HTTP传输密码/会话数据用户活动监控与追踪直接设备攻击(如通过SMB服务)WPA2-PSK安全真相为什么说公共WPA2-PSK WiFi比开放WiFi更安全?剧透:并非如此!
在典型WPA2-PSK场景中,所有用户共享同一密码。而解密整个流量仅需:SSID + 共享密码 + 四次握手信息(参见Wireshark解密指南)。实际操作教程可参考此案例。
总结WPA2-PSK网络攻击者能力:
解密所有HTTP/FTP/邮件协议密码实施SSLStrip等主动攻击监控用户活动开放WiFi与WPA2-PSK的实际区别仅在于:前者需要攻击者技能等级1/10,后者需要1.5/10——这就是全部差距。
终极解决方案服务商责任:部署可信SSL/TLS基础设施,保护会话cookie。用户应使用HTTPS Everywhere插件,发现问题立即投诉。终端防护:及时更新软件补丁,使用安全浏览器(Chrome/IE11增强模式),禁用非必要插件(Java/Flash/Silverlight),或启用点击播放。推荐使用EMET、HitmanPro Alert等漏洞缓解工具。强制HSTS:网站应部署HSTS并加入预加载列表警惕虚假更新:如伪造的Flash播放器更新VPN认知纠偏:VPN提供商本质与ISP无异,同样可能实施流量监控。免费VPN风险更高,且多数VPN断开时无安全失效保护。与其购买VPN服务,不如选择4G/3G网络。但在移动端(Android/iOS)仍推荐使用VPN,因用户难以判断各应用的加密情况。智能防火墙:根据网络可信度切换"公共网络"模式企业/家庭网络:选购支持访客网络的WiFi路由器,设置独立密码正确提问方式"你是否使用开放WiFi?"或"会在开放WiFi上网银吗?"都是错误问题。应该问:
你是否信任当前网络运营商?客户端是否隔离?若无隔离,网络中是否存在恶意用户?你是否具备安全意识并遵循上述防护措施?(若遵守,任何网络都安全)作者实践我本人常在开放WiFi进行网银、网购等敏感操作。即便通过HTTP网站订餐泄露地址——这些信息早已存在于电话簿、Facebook和所有上传过猫咪照片的元数据中(参见iknowwhereyourcatlives.com)。
多数安全文章充满过时恐吓。实际上在开放WiFi使用Gmail绝对安全——没人能读取我的邮件。
后记我知道普通用户不会读到本文,即使读到也不会更新浏览器插件、付费买VPN或检查会话cookie。这就是现实。