iThome
现在人已经很习惯使用Wi-Fi无线网路,像是我们手机只要一开启Wi-Fi,就能看到清单上列出不少邻近的Wi-Fi网路名称,也就是无线路由器设定的SSID,主要方便使用者和其他 Wi-Fi装置能够识别自己的Wi-Fi网路。
儘管,Wi-Fi无线网路带来很大的方便性,但也因此,越方便也就越不安全,无线网路该有特别的安全考量,到底,有哪些Wi-Fi风险是使用者该知道的呢?以下我们整理出6个基本的Wi-Fi安全问题:
1.新买无线路由器未妥善设定SSID
为了保护无线网路不被未经授权的使用者侵入,最基本且简单的无线网路安全设定,就是设定SSID与修改密码。但要注意的是,可别依赖设备提供的预设值,就开始提供网路服务,这样虽然方便,但安全疑虑其实也相对较高。
像是有些Wi-Fi网路的名称取名是厂牌、型号,很可能就是没变更过SSID与密码,就直接启用了。儘管一些厂商的说明书中有提及,要将出厂预设网路名称(SSID)变更为独特的名称,但有些用户可能不太注意这样的问题,至少不要让人一眼就察觉,这个Wi-Fi网路设备可能都没修改过设定。
2.没有将无线网路设定为WPA2加密
将无线网路设定为加密,任何装置想要连上都必须输入密码,这算是确保无线网路安全很基本的作法。若是无线网路不设密码,让任何人都能够连上使用,等于是完全不设防。
但别以为设定了加密就完全没问题,一般Wi-Fi网路设定的加密方式分成WEP、WPA与WPA2,而你目前在家、公司所用的Wi-Fi是用哪一种?如果不知道表示你根本没概念,基本上,近五、六年来,多数厂商都会建议的加密机制,就只有WPA2,因为这对于破解密码的人来说,难度更高。
如果用户仍旧使用WEP、WPA加密机制,最好也都改用安全性相对高的WPA2。因为像是WEP这样的加密机制,即便没有相关资讯专业知识的人,其实也能用工具轻易破解。
以WEP、WPA与WPA2这3种无线网路加密的方式而言,其中WPA2的安全性最高,因此一般都会建议用户,不要再使用安全性低的加密。(右图为D-Link无线网路产品管理介面)
3. Wi-Fi密码组成太简单
除了选择较安全的WPA2加密方式之外,同时也需要设定一组密码来保护无线网路的存取,但要注意的是,可别只想到无线网路带来的方便,就想设定一组简单的密码,而忽略了对于密码强度的要求。
基本上,与一般密码设定原则相同,内容组成越複杂、强度越高,也就越不容易被破解,一样要以大小写英文字母、阿拉伯数字、特殊符号等,来做组合,密码越长越好。最好不要使用12345678、123456789、987654321、8个0、password之类的简单规则,避免被别人猜中密码。
谈到密码管理,用键盘位置帮助记忆是一种方式,像是!234%tGB这组密码,利用键盘横排、直排与大小写切换的逻辑拼凑而成,就是一个例子,用户可以自行变化,如要更複杂一点,还可在结尾增加参数,像是一个字母或是单字;或者是用中文输入位置帮助记忆,像是以注音拼打「密码防护」,对应出的英文密码字串将是au4a83z;6cj4。
以TP-Link官方网站的介面为例,使用者可以透过原厂网站,下载无线网路设备的最新韧体版本,并透过手动更新方式进行,一些设备本身可能提供自动更新功能,可简化韧体升级。
4.管理介面的预设帐号密码没有修改
在无线网路与密码的设定之外,一般Wi-Fi路由器本身的网页式后台管理介面,也都设有登入机制,像是一些设备可能预设的帐号密码都是Admin,或是帐号为Admin、密码为空白,用户应该要意识到这是风险疑虑所在。
如果你没有设定密码或是直接使用预设的密码,这将让有心人士轻易更改你的无线路由器设定,之后,可能导致自己的网路、电脑遭到攻击,以及窃取资料等等。
不论如何,无线路由器本身的出厂预设值,是为了让用户取得新机、还原系统时,可以方便登入管理,但真正要开始用、部署前,都应落实管理介面帐号密码的修改。就像拿到一张新的金融卡时,银行行员会提供一张防窥视的纸张,里面印了一组你不熟悉的密码,并且要求使用者儘速到ATM变更密码,而修改密码这件事,一直都是使用者该注意的。
5.没有落实无线路由器的定期韧体更新
做好设备的维护更新,听起来是件稀鬆平常的事,只是对于无线路由器使用上的隐忧在于,像是家中无线路由器的管理容易被忽略,企业虽然通常有专属的MIS人员负责,但也可能设置之后就没有管它,或是抱持着多一事不如少一事,尽量不更新韧体的心态,怕产生更多问题。
就像我们常用的Windows、Mac电脑常遇到系统更新的情况,由于存在许多未知的漏洞,可能成为系统安全性的死角,系统厂商会不断释出更新修补漏洞。同样的,无线路由器设备也面临各种安全漏洞,是资安疑虑与风险所在,也需经常注意,并即时更新修补好漏洞的韧体。
像是有重大漏洞问题要修补时,设备厂商会强烈建议用户,尽快下载并更新无线路由器的韧体版本,减少因安全漏洞带来的危害,增强设备的安全性。只是各厂商对于韧体更新的维护力度与提供机制,是用户不易掌握的部分。不论如何,用户在手动或自动更新时,同时也要记得检查既有设定是否遭到变动或窜改。
随着Wi-Fi连网需求,市面上出现像是「Wi-Fi万能钥匙」这类App工具,使用者可在不知道各种公用Wi-Fi网路密码的情况下,也能连上。然而,看似方便的背后,也该注意是否会产生一些安全疑虑,例如不小心洩漏了私用网路的密码。另一方面,你也要注意这些免费或无加密Wi-Fi的高风险,因为如果有心人士提供一个名字与公用Wi-Fi相同或类似的名称,使用者可能连上了钓鱼AP而不自知。
6.员工擅自携带无线路由器接在公司网路环境
无线路由器已经很普遍,各大3C卖场都买得到,甚至也有迷你可携的机型,或是强调免设定、接上网路线即可使用的产品。但是,如果为了连线方便,就擅自将设备拿到办公室中随插即用,用户必须意识到,这可能会为企业带来网路安全问题。就像别人不经你的同意,擅自将带来的电脑接在你家的网路环境上,你也会感到一些疑虑。
另外,还有像是员工PC、笔电接在公司的有线网路上,同时开启Windows内建的行动热点功能,也有同样的问题。
一般来说,在大型企业中,可能有各式手段因应防堵,例如端点周边控管及Wi-Fi网路管理系统,但中小企业普遍不容易顾及,因此更要教育用户基本资安的概念。
iThome Security