通常情況下,大多數人都知道非加密的Wi-Fi網絡,會存在被人盜用流量的情況。而日常Wi-Fi網絡使用的WPA2-PSK加密後,可以防止流量被盜情況,但它並不像你想象的那樣萬無一失。
這不是關於新安全漏洞的巨大突發新聞。相反,這是WPA2-PSK加密方式一直存在的問題,但這是大多數人不知道的事情。
開放Wi-Fi網絡與加密Wi-Fi網絡
儘管您家中不會存在未加密的Wi-Fi網絡,但您在公共場所使用的網絡 ,例如:在咖啡店、機場或酒店,可能都是一個開放的Wi-Fi網絡,這意味著通過該無線發送的所有信息都是“透明的”。人們可以監控您的瀏覽活動,並且可以窺探任何未通過加密本身保護的網絡活動。例如:您在開放的網絡上輸入賬號、密碼登錄網頁,您的所有信息都是透明的傳輸。
所以,在您的家中我們建議您使用WPA2-PSK加密您的網絡,這樣您附近的人就不能盜用你的流量和監控您的網絡行為,他們只能獲取到一堆加密的流量,這意味著加密的Wi-Fi網絡可以保護您的私人流量不被窺探。
但是 ,WPA2-PSK加密還是有一個很大問題在這裡。
WPA2-PSK使用共享密鑰
WPA2-PSK的問題在於它使用“預共享密鑰”,此密鑰是您必須輸入以連接到Wi-Fi網絡的密碼,每個連接的人都使用相同的密碼。
對一些想要監控加密流量的人來說,WPA2-PSK的加密方式還是比較簡單,他們所需要的只是:
密碼:每個有權連接到Wi-Fi網絡的人都會擁有此密碼。
新客戶端的重連:如果某人正在捕獲路由器與設備連接時發送的數據包,則他們擁有解密流量所需的一切(當然,假設他們也有密碼)。通過“deauth”攻擊獲取此流量也是輕而易舉的,該攻擊強制斷開設備與Wi_Fi網絡的連接並迫使其重新連接,從而導致重連過程再次發生。
這個過程真的很簡單, Wireshark有一個內置選項,可以自動解密WPA2-PSK流量,只要您擁有預共享密鑰並捕獲了重連過程的流量。
這實際意味著什麼
這實際上意味著如果你不信任網絡上的每個人,WPA2-PSK加密的網絡沒有安全性可言。在家裡,你應該是安全的,因為你的Wi-Fi密碼是沒有共享的。
但是,如果你去咖啡館並使用WPA2-PSK而不是開放式Wi-Fi網絡,你可能會覺得自己的網絡很安全。其實不然,任何擁有咖啡店Wi-Fi密碼的人都可以監控你的瀏覽流量。網絡上的其他人,或者其他有密碼的人,如果願意,都可以窺探您的網絡活動。
一定要考慮到這一點。 WPA2-PSK可防止無法訪問網絡的人窺探。但是,一旦他們擁有網絡密碼,所有一切都變了。
為什麼WPA2-PSK不試圖阻止這種行為?
WPA2-PSK實際上試圖通過使用“成對臨時密鑰”(PTK)來阻止這種情況。每個無線客戶端都有一個唯一的PTK。但是,這並沒有多大幫助,因為唯一的每個客戶端密鑰總是來自預共享密鑰。這就是為什麼只要你擁有Wi-Fi密碼就可以捕獲客戶端的唯一密鑰。
WPA2-Enterprise解決了這個問題......適用於大型網絡
對於需要安全Wi-Fi網絡的大型組織,可以通過使用RADIUS服務器(有時稱為WPA2-Enterprise)進行EAP身份驗證來避免此安全漏洞。使用此係統,每個Wi-Fi客戶端都會收到一個真正獨特的密鑰。沒有其他的客戶端能滿足嗅探流量的條件,因此這提供了更高的安全性。因此,大型公司辦公室或政府機構應使用WPA2-Enteprise。
但對於絕大多數人 - 甚至是大多數極客 - 而言,這在家中使用WPA2-Enterprise過於複雜。你不但需要在連接的設備上輸入Wi-Fi密碼,您還要管理處理身份驗證和密鑰管理的RADIUS服務器。對於家庭用戶來說,這要複雜得多。
事實上,如果你信任Wi-Fi網絡上的每個人,那麼你甚至不值得花時間。 只有當您連接到公共場所的WPA2-PSK加密Wi-Fi網絡時,才需要這樣做 - 咖啡店,機場,酒店,甚至更大的辦公室 - 其他您不信任的人也有Wi- FI網絡的密碼的情況下。
那麼,怎麼辦呢? 您只需要記住這一點:當您連接到WPA2-PSK網絡時,有權訪問該網絡的其他人可以輕鬆窺探您的流量。 儘管大多數人可以信任,但是加密並不能保證其他人無法訪問網絡。
如果您必須訪問公共Wi-Fi網絡上的敏感站點 - 尤其是不使用HTTPS加密的網站 - 請考慮通過VPN甚至SSH隧道進行訪問。 公共網絡上的WPA2-PSK加密還不夠好。
閱讀更多 科技資訊速遞員 的文章
