到目前为止,大多数人都知道开放的Wi-Fi网络可以让人们窃听你的流量。标准的WPA2-PSK加密应该可以防止这种情况发生-但它并不像您想象的那样万无一失。
这并不是关于一个新的安全漏洞的重大突发新闻。相反,这是WPA2-PSK一直以来的实现方式。
开放式Wi-Fi网络与加密Wi-Fi网络
相关:为什么使用公共Wi-Fi网络会很危险,即使是在访问加密网站时也是如此
你不应该在家里托管开放的Wi-Fi网络,但你可能会发现自己在公共场合使用Wi-Fi-例如,在咖啡馆,在经过机场时,或者在酒店里。开放式Wi-Fi网络没有加密,这意味着所有通过空中传输的信息都是“明文的”。人们可以监控你的浏览活动,任何本身没有加密保护的网络活动都可以被窥探。是的,如果你在登录到开放的Wi-Fi网络后,必须用用户名和密码在网页上“登录”,情况就更是如此。
加密-就像我们建议您在家里使用的WPA2-PSK加密-在一定程度上修复了这个问题。附近的人不能简单地捕捉你的流量并窥探你。他们会收到一堆加密的流量。这意味着加密的Wi-Fi网络可以保护您的私人流量不被窥探。
这在某种程度上是正确的-但这里有一个很大的弱点。
WPA2-PSK使用共享密钥
相关:不要有错误的安全感:保护Wi-Fi安全的5种不安全方法
WPA2-PSK的问题在于它使用“预共享密钥”。此密钥是连接到Wi-Fi网络时必须输入的密码或口令。每个连接的人都使用相同的密码。
有人很容易监控这种加密的流量。他们只需要:
密码:每个有权连接Wi-Fi网络的人都会有这个。 新客户端的关联流量:如果有人在路由器和设备连接时捕获在路由器和设备之间发送的数据包,则他们拥有解密流量所需的一切(当然,假设他们也拥有密码)。通过强制断开设备与Wi_Fi网络的连接并强制其重新连接的“deauth”攻击获取此流量也是微不足道的,从而导致关联过程再次发生。
真的,我们怎么强调这有多简单都不为过。Wireshark有一个内置选项,可以自动解密WPA2-PSK流量,只要您拥有预共享密钥并捕获了关联过程的流量。
这实际上意味着什么
相关:你的Wi-Fi的WPA2加密可以离线破解:方法如下
这实际上意味着,如果您不信任网络上的每个人,WPA2-PSK就不会更安全地防止窃听。在家里,你应该是安全的,因为你的Wi-Fi密码是一个秘密。
然而,如果你去咖啡馆,他们使用的是WPA2-PSK,而不是开放的Wi-Fi网络,你可能会觉得自己的隐私更安全。但你不应该这么做--任何拥有咖啡店Wi-Fi密码的人都可以监控你的浏览流量。网络上的其他人,或者只是拥有密码的其他人,如果他们愿意的话,可以窥探你的流量。
一定要考虑到这一点。WPA2-PSK可防止无法访问网络的用户进行窥探。然而,一旦他们掌握了网络的密码,所有的赌注都泡汤了。
为什么WPA2-PSK不尝试阻止这一点?
WPA2-PSK实际上确实试图通过使用“成对临时密钥”(PTK)来阻止这一点。每个无线客户端都有唯一的PTK。但是,这没有多大帮助,因为每个客户端的唯一密钥总是从预共享密钥(Wi-Fi密码短语)派生而来。这就是为什么只要您拥有Wi-Fi密码并可以捕获通过关联过程发送的流量,捕获客户端的唯一密钥就很简单。
WPA2-企业解决了这个…。面向大型网络的解决方案
对于需要安全Wi-Fi网络的大型组织,可以通过将EAP身份验证与RADIUS服务器(有时称为WPA2-Enterprise)配合使用来避免此安全漏洞。使用该系统,每个Wi-Fi客户端都会收到一个真正唯一的密钥。任何Wi-Fi客户端都没有足够的信息来开始在另一个客户端上进行监听,因此这提供了更高的安全性。出于这个原因,大型公司办公室或政府机构应该使用WPA2-企业版。
但对于绝大多数人-甚至大多数极客-来说,这太复杂了,无法在家里使用。您不必在要连接的设备上输入Wi-Fi密码,而必须管理处理身份验证和密钥管理的RADIUS服务器。这对于家庭用户来说设置起来要复杂得多。
事实上,如果你信任你的Wi-Fi网络上的每个人,或者每个可以访问你的Wi-Fi密码的人,那么你的时间甚至都不值得。只有当您连接到公共场所的WPA2-PSK加密Wi-Fi网络-咖啡厅、机场、酒店,甚至更大的办公室-其他您不信任的人也拥有Wi-Fi网络的密码时,这才是必要的。
那么,天要塌下来了吗?不,当然不是。但是,请记住这一点:当您连接到WPA2-PSK网络时,其他有权访问该网络的人可以很容易地窥探您的流量。尽管大多数人可能会认为,加密并不能提供保护,防止其他有权访问网络的人访问该网络。
如果你必须访问公共Wi-Fi网络上的敏感网站-特别是那些不使用HTTPS加密的网站-可以考虑通过VPN甚至SSH隧道来访问。公共网络上的WPA2-PSK加密不够好。
图片来源:Flickr上的Cory Doctorow,Flickr上的Food Group,Flickr上的Robert Couse-Baker