【51CTO.com快譯】十幾年來，設(shè)定高強(qiáng)度密碼、拒絕未知訪客接入以及眾多我們耳熟能詳?shù)腤iFi保護(hù)實踐已經(jīng)深入人心。然而，陳舊的有線等效私密性(簡稱WEP)機(jī)制已然脆弱不堪，在攻擊者面前形同虛設(shè)。

而在使用WiFi訪問保護(hù)2(簡稱WPA2)的情況下，以下四種威脅場景應(yīng)當(dāng)引起大家的足夠重視。

[[184284]]

變更默認(rèn)無線設(shè)置

一部分調(diào)制解調(diào)器/路由器制造商及ISP會使用默認(rèn)密碼對WiFi進(jìn)行預(yù)先加密，并將相關(guān)信息打印在設(shè)備本身或者包裝盒上。很明顯，這樣的默認(rèn)設(shè)置極不可靠。

目前不少企業(yè)將設(shè)備MAC地址及或默認(rèn)SSID(網(wǎng)絡(luò)名稱)的一部分添加至WiFi密碼內(nèi)，這同樣可能帶來安全隱患。例如，時代華納有線提供的ARRIS網(wǎng)關(guān)默認(rèn)采用TG1672G02作為其2.4 GHz網(wǎng)絡(luò)SSID，5 GHz網(wǎng)絡(luò)則為TG1672G02-5G——二者皆采用TG1672G1E1F02作為默認(rèn)密碼。雖然看似安全，但其中包含了TG1672G這一網(wǎng)關(guān)型號以及部分MAC地址。而且，WiFi Analyzer應(yīng)用可以幫助任意訪問者知悉連接WiFi所需要的密碼內(nèi)容。

在了解到默認(rèn)WiFi密碼的構(gòu)成后，我們完全可以接入到其它采用同樣網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò)當(dāng)中。因此，為了防止使用同類設(shè)備所帶來的隱患，請花幾秒鐘時間更改路由器及/或網(wǎng)關(guān)設(shè)備的默認(rèn)SSID與登錄密碼。

丟失或被盜WiFi設(shè)備可能成為安全隱患

即使采用合格的高強(qiáng)度密碼，但如果您的手機(jī)、平板乃至筆記本等聯(lián)網(wǎng)設(shè)備丟失，那么拾取者無疑能夠借此獲得我們的WiFi信息。根據(jù)恢復(fù)者的知識水平及拾取設(shè)備的具體位置，他們甚至能夠了解WiFi網(wǎng)絡(luò)的所處地點。而竊賊能夠利用Nirsoft的WirelessKevView等合法程序查看設(shè)備上已保存的全部WiFi密碼。

因此一旦移動設(shè)備丟失，請首先考慮能否對其進(jìn)行遠(yuǎn)程鎖定甚至清除。另外，最好變更全部該設(shè)備曾經(jīng)接入之網(wǎng)絡(luò)的登錄密碼。如果您曾利用其接入企業(yè)網(wǎng)絡(luò)，請馬上將情況上報給相關(guān)管理者。

另外，對于家庭用戶而言，變更聯(lián)網(wǎng)密碼可能問題不大。但對于需要面向大量員工及其設(shè)備的企業(yè)而言，變更密碼則很可能帶來一系列麻煩。

此類設(shè)備通常提供一種行之有效的密碼破解應(yīng)對辦法，但其較為復(fù)雜且對基礎(chǔ)設(shè)施存在一定要求，因此并不適合普通用戶。這項功能通常提供“企業(yè)模式”WPA或WPA2，其要求不同用戶使用惟一的ID與密碼進(jìn)行登錄。任何個人帳戶都能夠獨立更改或者撤銷，而不會對他人產(chǎn)生影響。

企業(yè)模式的弊端在于802.1X用戶驗證要求在網(wǎng)絡(luò)上添加一套用于運行RADIUS(即遠(yuǎn)程認(rèn)證撥入用戶服務(wù))協(xié)議的服務(wù)器。

因此，如果您運營著一家小型企業(yè)或者只打算保護(hù)家庭網(wǎng)絡(luò)安全，同時需要使用多種云及托管服務(wù)，那么請盡量不要選擇企業(yè)模式——這將給管理帶來巨大負(fù)擔(dān)。

路由器WPS按鈕暗藏風(fēng)險

很多無線路由器上自帶的WiFi保護(hù)設(shè)置(簡稱WPS)功能能夠以一鍵或者輸入PIN碼的方式快速保護(hù)WiFI網(wǎng)絡(luò)及聯(lián)網(wǎng)設(shè)備。然而多年之前此項協(xié)議中即被發(fā)現(xiàn)存在漏洞，意味著黑客能夠在無需破解WiFi密碼的前提下實現(xiàn)接入。因此，在使用此功能時請務(wù)必慎重。

出于安全考慮，請禁用相關(guān)設(shè)備上的WPS，且千萬不要購買無法禁用該功能的產(chǎn)品。另外，及時更新固件以確保該漏洞得到修復(fù)。

禁用SSID廣播實際弊大于利

禁用網(wǎng)絡(luò)SSID廣播的作法同樣相當(dāng)常見。人們普遍認(rèn)為這能夠隱藏自己的網(wǎng)絡(luò)并確保黑客無法發(fā)現(xiàn)我們的網(wǎng)絡(luò)。但事實證明，這樣做弊大于利。

在禁用SSID廣播時，我們實際上只是把SSID從WiFi路由器發(fā)送給周邊設(shè)備的網(wǎng)絡(luò)存在通知內(nèi)的信令中剔除出來。這些信令負(fù)責(zé)為筆記本、手機(jī)及平板提供周邊可用網(wǎng)絡(luò)列表信息。雖然不包含SSID，對方仍然能夠意識到網(wǎng)絡(luò)的存在，只是將其顯示為“隱藏網(wǎng)絡(luò)”、空白名稱或者不顯示網(wǎng)絡(luò)條目，但實際是“隱藏網(wǎng)絡(luò)”仍會顯示在Windows網(wǎng)絡(luò)列表中。

這意味著無論是否廣播SSID，竊聽者仍然能夠攔截相關(guān)WiFi流量。例如SSID會被包含在關(guān)聯(lián)過程中，因此當(dāng)設(shè)備連接或者重連時，竊聽者可以借此捕獲對應(yīng)SSID。目前的Kismet、CommView for WiFi以及Airmagnet等工具都能實現(xiàn)這樣的效果。

考慮到這一點，請千萬不要通過禁用廣播來代替加密舉措。另外，雖然使用強(qiáng)密碼登錄后再將SSID禁用能夠阻止大多數(shù)黑客攻擊活動，但這可能會增加后臺網(wǎng)絡(luò)傳輸流量，進(jìn)而導(dǎo)致大型網(wǎng)絡(luò)性能遭受負(fù)面影響。

原文標(biāo)題：Four lesser-known Wi-Fi security threats and how to defend against them，原文作者：Eric Geier

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】