【51CTO.com快譯】十幾年來，設(shè)定高強(qiáng)度密碼、拒絕未知訪客接入以及眾多我們耳熟能詳?shù)腤iFi保護(hù)實(shí)踐已經(jīng)深入人心。然而，陳舊的有線等效私密性(簡(jiǎn)稱WEP)機(jī)制已然脆弱不堪，在攻擊者面前形同虛設(shè)。

而在使用WiFi訪問保護(hù)2(簡(jiǎn)稱WPA2)的情況下，以下四種威脅場(chǎng)景應(yīng)當(dāng)引起大家的足夠重視。

[[184284]]

變更默認(rèn)無線設(shè)置

一部分調(diào)制解調(diào)器/路由器制造商及ISP會(huì)使用默認(rèn)密碼對(duì)WiFi進(jìn)行預(yù)先加密，并將相關(guān)信息打印在設(shè)備本身或者包裝盒上。很明顯，這樣的默認(rèn)設(shè)置極不可靠。

目前不少企業(yè)將設(shè)備MAC地址及或默認(rèn)SSID(網(wǎng)絡(luò)名稱)的一部分添加至WiFi密碼內(nèi)，這同樣可能帶來安全隱患。例如，時(shí)代華納有線提供的ARRIS網(wǎng)關(guān)默認(rèn)采用TG1672G02作為其2.4 GHz網(wǎng)絡(luò)SSID，5 GHz網(wǎng)絡(luò)則為TG1672G02-5G——二者皆采用TG1672G1E1F02作為默認(rèn)密碼。雖然看似安全，但其中包含了TG1672G這一網(wǎng)關(guān)型號(hào)以及部分MAC地址。而且，WiFi Analyzer應(yīng)用可以幫助任意訪問者知悉連接WiFi所需要的密碼內(nèi)容。

在了解到默認(rèn)WiFi密碼的構(gòu)成后，我們完全可以接入到其它采用同樣網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò)當(dāng)中。因此，為了防止使用同類設(shè)備所帶來的隱患，請(qǐng)花幾秒鐘時(shí)間更改路由器及/或網(wǎng)關(guān)設(shè)備的默認(rèn)SSID與登錄密碼。

丟失或被盜WiFi設(shè)備可能成為安全隱患

即使采用合格的高強(qiáng)度密碼，但如果您的手機(jī)、平板乃至筆記本等聯(lián)網(wǎng)設(shè)備丟失，那么拾取者無疑能夠借此獲得我們的WiFi信息。根據(jù)恢復(fù)者的知識(shí)水平及拾取設(shè)備的具體位置，他們甚至能夠了解WiFi網(wǎng)絡(luò)的所處地點(diǎn)。而竊賊能夠利用Nirsoft的WirelessKevView等合法程序查看設(shè)備上已保存的全部WiFi密碼。

因此一旦移動(dòng)設(shè)備丟失，請(qǐng)首先考慮能否對(duì)其進(jìn)行遠(yuǎn)程鎖定甚至清除。另外，最好變更全部該設(shè)備曾經(jīng)接入之網(wǎng)絡(luò)的登錄密碼。如果您曾利用其接入企業(yè)網(wǎng)絡(luò)，請(qǐng)馬上將情況上報(bào)給相關(guān)管理者。

另外，對(duì)于家庭用戶而言，變更聯(lián)網(wǎng)密碼可能問題不大。但對(duì)于需要面向大量員工及其設(shè)備的企業(yè)而言，變更密碼則很可能帶來一系列麻煩。

此類設(shè)備通常提供一種行之有效的密碼破解應(yīng)對(duì)辦法，但其較為復(fù)雜且對(duì)基礎(chǔ)設(shè)施存在一定要求，因此并不適合普通用戶。這項(xiàng)功能通常提供“企業(yè)模式”WPA或WPA2，其要求不同用戶使用惟一的ID與密碼進(jìn)行登錄。任何個(gè)人帳戶都能夠獨(dú)立更改或者撤銷，而不會(huì)對(duì)他人產(chǎn)生影響。

企業(yè)模式的弊端在于802.1X用戶驗(yàn)證要求在網(wǎng)絡(luò)上添加一套用于運(yùn)行RADIUS(即遠(yuǎn)程認(rèn)證撥入用戶服務(wù))協(xié)議的服務(wù)器。

因此，如果您運(yùn)營(yíng)著一家小型企業(yè)或者只打算保護(hù)家庭網(wǎng)絡(luò)安全，同時(shí)需要使用多種云及托管服務(wù)，那么請(qǐng)盡量不要選擇企業(yè)模式——這將給管理帶來巨大負(fù)擔(dān)。

路由器WPS按鈕暗藏風(fēng)險(xiǎn)

很多無線路由器上自帶的WiFi保護(hù)設(shè)置(簡(jiǎn)稱WPS)功能能夠以一鍵或者輸入PIN碼的方式快速保護(hù)WiFI網(wǎng)絡(luò)及聯(lián)網(wǎng)設(shè)備。然而多年之前此項(xiàng)協(xié)議中即被發(fā)現(xiàn)存在漏洞，意味著黑客能夠在無需破解WiFi密碼的前提下實(shí)現(xiàn)接入。因此，在使用此功能時(shí)請(qǐng)務(wù)必慎重。

出于安全考慮，請(qǐng)禁用相關(guān)設(shè)備上的WPS，且千萬不要購(gòu)買無法禁用該功能的產(chǎn)品。另外，及時(shí)更新固件以確保該漏洞得到修復(fù)。

禁用SSID廣播實(shí)際弊大于利

禁用網(wǎng)絡(luò)SSID廣播的作法同樣相當(dāng)常見。人們普遍認(rèn)為這能夠隱藏自己的網(wǎng)絡(luò)并確保黑客無法發(fā)現(xiàn)我們的網(wǎng)絡(luò)。但事實(shí)證明，這樣做弊大于利。

在禁用SSID廣播時(shí)，我們實(shí)際上只是把SSID從WiFi路由器發(fā)送給周邊設(shè)備的網(wǎng)絡(luò)存在通知內(nèi)的信令中剔除出來。這些信令負(fù)責(zé)為筆記本、手機(jī)及平板提供周邊可用網(wǎng)絡(luò)列表信息。雖然不包含SSID，對(duì)方仍然能夠意識(shí)到網(wǎng)絡(luò)的存在，只是將其顯示為“隱藏網(wǎng)絡(luò)”、空白名稱或者不顯示網(wǎng)絡(luò)條目，但實(shí)際是“隱藏網(wǎng)絡(luò)”仍會(huì)顯示在Windows網(wǎng)絡(luò)列表中。

這意味著無論是否廣播SSID，竊聽者仍然能夠攔截相關(guān)WiFi流量。例如SSID會(huì)被包含在關(guān)聯(lián)過程中，因此當(dāng)設(shè)備連接或者重連時(shí)，竊聽者可以借此捕獲對(duì)應(yīng)SSID。目前的Kismet、CommView for WiFi以及Airmagnet等工具都能實(shí)現(xiàn)這樣的效果。

考慮到這一點(diǎn)，請(qǐng)千萬不要通過禁用廣播來代替加密舉措。另外，雖然使用強(qiáng)密碼登錄后再將SSID禁用能夠阻止大多數(shù)黑客攻擊活動(dòng)，但這可能會(huì)增加后臺(tái)網(wǎng)絡(luò)傳輸流量，進(jìn)而導(dǎo)致大型網(wǎng)絡(luò)性能遭受負(fù)面影響。

原文標(biāo)題：Four lesser-known Wi-Fi security threats and how to defend against them，原文作者：Eric Geier

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】