破解迷思:未加密的开放WiFi真的比WPA2-PSK更危险吗?其实不然

本文深入分析了开放WiFi与WPA2-PSK加密网络的实际安全风险,揭示了常见的误解,并提供了实用的安全建议,帮助用户在公共网络中保护自己的数据安全。

引言

每当安全专家向普通用户推荐五大IT安全实践时,总会包含类似这样的建议:“避免使用开放WiFi”、“使用开放WiFi时务必启用VPN”或“不要在开放WiFi环境下访问敏感网站(如网上银行)”等。

我的看法是:这些都是废话。但先别急着下结论,让我们全面分析其中的风险和因素。

分析前提

在以下分析中,我做了两个假设:

  1. 我们比较的是完全未加密的公共WiFi热点(称为“开放”)与采用WPA2-PSK加密的公共WiFi热点(希望WEP早已消亡)。
  2. 用户分为安全意识较强和完全不在乎安全的两类,后者只关心浏览网页、访问Facebook、写邮件等基本功能。

风险分析

让我们讨论人们在公共热点上可能面临的不同威胁(与家庭/工作网络相比):

  1. 当网站会话数据未通过SSL/TLS保护(且cookie未启用安全标志)时,同一热点上的攻击者可获取会话数据并用于窃取登录凭证。受影响协议包括:

    • HTTP网站
    • HTTPS网站但cookie未加密
    • 未加密的FTP
    • 未使用SSL/TLS或STARTTLS的IMAP/SMTP/POP3

  2. 攻击者可向HTTP流量中注入额外数据,用于漏洞利用或社会工程攻击(例如通过虚假Flash更新传播恶意软件)——参考“黑暗酒店”攻击活动。

  3. 攻击者可使用SSLStrip等工具使用户流量保持明文HTTP状态,窃取密码/会话数据/个人信息。

  4. 攻击者可监控和跟踪用户活动。

  5. 攻击者可直接攻击用户设备(如通过SMB服务)。

WPA2-PSK的安全性

那么,为什么说公共WPA2-PSK WiFi比开放WiFi更安全呢?剧透警告:并非如此!

在典型的公共WPA2-PSK场景中,所有用户共享同一个密码。而关键在于,只需以下信息即可解密全部流量:SSID + 共享密码 + 四次握手信息(参见Wireshark解密指南)。

任何能够访问同一WPA2-PSK网络的用户都掌握这些信息,因此他们可以立即解密你的流量。或者攻击者可以设置一个具有相同SSID、相同密码但信号更强的接入点,立即发起中间人攻击。

令人困惑的是(即使在IT安全专家中),普遍认为WPA2-PSK不会受到此类攻击。我不确定为什么协议中会保留这个漏洞。编辑注(2015-08-03):关键点在于,在没有服务器认证(如通过PKI)的情况下,这个问题无法解决。

总结来说,WPA2-PSK网络上的攻击者能够:

  • 解密所有HTTP/FTP/IMAP/SMTP/POP3密码或其他敏感信息
  • 发起SSLStrip等主动攻击,或修改HTTP流量以包含漏洞利用/社会工程攻击
  • 监控/跟踪用户活动

开放网络与WPA2-PSK网络的唯一区别在于:攻击开放网络只需要技能水平为1/10的攻击者,而攻击WPA2-PSK网络需要技能水平为1.5/10的攻击者。这就是全部区别。

真正的解决方案

  1. 网站所有者、服务提供商应部署可靠的SSL/TLS基础设施,保护会话cookie等。当用户(或安全专家)发现服务质量问题(如缺少SSL/TLS)时,应通知服务提供商。若无改进,建议更换更安全的服务商。用户应使用HTTPS Everywhere插件。

  2. 通过更新软件补丁保护设备安全,使用安全浏览器(Chrome、IE11+增强保护),禁用不必要的插件(Java、Flash、Silverlight),或至少使用点击播放功能。同时,使用漏洞缓解工具(如EMET、HitmanPro Alert、Malwarebytes AntiExploit)和优质网络安全套件也是明智之举。

  3. 网站所有者应部署HSTS,并可选地将网站加入HSTS预加载列表。

  4. 不要盲目点击虚假下载(如虚假Flash播放器更新)。

  5. VPN的好处通常被高估。VPN提供商只是另一个服务商,与热点提供商或ISP无异。他们同样可能进行恶意操作(流量注入、监控、用户跟踪)。特别是当人们使用免费VPN时。“普通用户”会选择免费VPN。此外,VPN连接经常断开,且几乎没有VPN提供商提供故障安全保护。与其花钱购买优质VPN服务,不如购买优质数据套餐使用4G/3G网络,而非低质量的公共热点。但在移动操作系统(Android、iOS等)上,我强烈建议使用VPN,因为用户实际上无法知道哪些应用使用了SSL/TLS,哪些没有。

  6. 使用位置感知防火墙,在不信任的网络中将其设置为“公共”模式。

  7. 在小型企业/家庭环境中,购买支持访客WiFi功能的路由器,可为访客网络设置不同于主网络的密码。

“你使用开放WiFi吗?”或“你会在开放WiFi上进行网上银行操作吗?”这些问题本身就是错误的。正确的问题应该是:

  • 你信任正在使用的网络运营商吗?
  • 客户端是否隔离?
  • 如果客户端未隔离,网络中是否存在潜在恶意用户?
  • 你是否有安全意识,并遵循上述规则?如果遵循这些规则,它们将在任何网络中保护你。

尽管可能有人觉得我傻,但我确实会在开放WiFi上进行网上银行、电子购物等所有敏感操作。当我在HTTP网站上订披萨时,攻击者可能会知道我的地址——但我的地址早已出现在电话簿、Facebook,以及我上传到互联网的所有关于我家猫的照片元数据中(参见iknowwhereyourcatlives.com)。

大多数文章和研究报告都充满了关于他人能获取什么信息的恐吓性内容。也许它们已经过时,也许没有。但在开放WiFi上使用Gmail是完全安全的,没人能读到我的邮件。

后记:我知道“普通用户”不会看到这篇博文,即使看到也不会读完,即使读完也理解不了半数内容。但即使他们理解了,也不会更新浏览器插件、付费购买VPN或检查会话cookie。所以他们注定会失败。这就是生活。接受现实吧。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次