現在,Wi-Fi已經是我們每個人生活的必需品了。不過平時你肯定也看過不少這樣的新聞:黑客通過家庭Wi-Fi盜取了個人信息,造成隱私洩漏,甚至財產損失。你一定會想,這種情況真的很容易發生嗎,或者有沒有方法能讓自家的Wi-Fi不被盜?
1
關於Wi-Fi安全的問題,我們常常會覺得危機四伏,我先給你吃個定心丸:其實當前所有和隱私跟財產有關的應用,都已經被妥善地保護起來了。
這種保護一方面來自於密碼學,另一方面來自於法律法規。也就是說對於特定的應用,法律會規定一定要採用某種級別以上的加密法。
所以絕大部分人即便完全沒有意識到密碼和安全保護的存在,只是正常使用,也基本不會遭遇破解。這種安全程度,就像我們絕大多數人不用瞭解飛機制造和航空管理的細節,只要正常乘坐商業航班,一般都會安全抵達目的地那樣。
但你可能的確在新聞裡聽說過密碼被破然後財產受損的事,你是不是好奇,不是都妥善保護好了嗎,為什麼還會有這樣的新聞呢?
從密碼學角度,我們確實已經做的挺好。但漏洞往往出在實際使用時的操作失誤,或者人的惰性上。
人性的弱點也是密碼的弱點,而這些人性上的弱點是密碼學很難補齊的。黑客們就會從這些方面下手。
知道了這些你就會明白,想在日常生活中讓密碼更安全,不僅需要加強密碼學知識,還要避免操作失誤,更要對抗人性的弱點。
2
為什麼這麼說呢?我們先來看看Wi-Fi密碼是怎麼被盜走的。
最簡單的方法,就是用戶自己的操作失誤。比如,無線路由要正常工作,需要設置好幾套密碼,可能有些人只知道Wi-Fi的那套用戶名和密碼,忽略了另外幾套。很多Wi-Fi密碼,就是這樣被別人知道的。
具體來說,路由器裡有很多可以自己設置的參數,比如說誰可以登錄、流量限制等,其中也包含Wi-Fi名稱和密碼這一項。
要設置這些參數,就需要另外一套用戶名和密碼,這套密碼就跟Wi-Fi的名稱和密碼是不同的。不少品牌的路由器用戶名會默認ADMIN,密碼默認也是ADMIN,地址往往是192.168.1.1。這本來是為了讓人們第一次使用時方便上手。使用者本應在第一次使用之後,就改掉這套默認的ADMIN的,就像咱們第一次辦銀行卡,銀行卡都會有一個默認密碼,大家會馬上改掉。
但很多人不知道這一點,尤其是對IT不瞭解的人,而且很多人當初搭建Wi-Fi時就是找人幫忙的,幫忙者也許覺得多一事不如少一事,這個默認值也就一直沒改掉。
這種情況下,設置好的無線路由就仍然處在任何人都可以通過ADMIN登陸、更改設置的狀態。假如我知道這個漏洞,就可以進入路由設置界面,把Wi-Fi密碼下的選項點選成可見,就能看到用戶名和密碼了,也就可以免費蹭別人的網了。
預防這種漏洞的方法也很簡單,就是改掉路由器設置界面那套默認的用戶名和密碼。
3
當然,這個例子是最簡單的,稍稍複雜一些的方法也有。
比如,在安卓的手機系統裡有一個文件夾,它就保存著你登陸過的Wi-Fi的名稱和密碼。這樣你下次再登錄時,一切都是自動的,不用重新填。
一般情況下,這個文件夾是沒法訪問的,但有些人的手機刷了root權限後,這個文件夾就可以訪問了,這裡存的Wi-Fi用戶名和密碼就可見了。
可能大家用過一個叫做“萬能鑰匙”的軟件,有了它很多有密碼的Wi-Fi你都可以連上。其實當你安裝上那個App以後,它就會把你手機裡存儲了Wi-Fi用戶名和密碼的文件,上傳到它的服務器上。
積累的比較多了之後,有用戶再使用萬能鑰匙時,軟件端就會先根據Wi-Fi名稱查查服務器上有沒有對應的密碼,有的話就發給用戶試試,有時候就這樣成功連上了。
你看,Wi-Fi密碼就這樣被盜用了。
有很多人不理解,“他頂多蹭了我的網,那又怎樣呢?我不在乎啊”。但是我要告訴你WiFi被盜的背後藏著很多陷阱——如果黑客能把你的無線路由器設置權限都拿到,那連在這個路由上的所有人的隱私就都保不住了。
黑客可以登錄路由器看看主人使用過哪些設備,比如手機、平板,或者電視盒子,然後從流量日誌中發現對方的微信、微博、QQ、淘寶、京東的賬號,說不定還有那些沒有加密的照片。
有人又說了,我沒有什麼見不得人的隱私,微信、QQ、微博都是可以公開的,照片被看也無所謂。
但不止於此,黑客還可以實時知道你登錄了哪些頁面,然後就能利用一些跳轉鏈接的動作,把你劫持到咱們剛說的假頁面上。
你上一秒還在真淘寶上,下一秒鏈接就已經跳到了假淘寶,在你重新輸入用戶名和密碼後,隱私和錢就都不保了。
還有,那些把手機root權限打開的操作,更是把自己的隱私門戶大開。App如果拿到了這個權限之後,就可以幹任何事了。
這個漏洞怎麼避免呢?
方法也很簡單,就是把路由器默認的那套用來設置參數的用戶名和密碼改掉,不刷機開root權限,或者乾脆使用蘋果手機。
你看,這個問題也不是密碼學失守,還是屬於操作失誤。
為了蹭網下一些蹭網軟件,結果自己卻冒了這麼大的風險,這也不是密碼學失守,而是那些軟件利用了人們貪小便宜的人性弱點。
4
咱們再來說說,為什麼說沒有設置密碼的Wi-Fi也不要用呢?
如果你的Wi-Fi是自己設置的,一定會在設置密碼時遇到一個選項,就是Wi-Fi的加密方式,一般是WPA2-PSK。
有了它,無線路由在傳輸數據的時候,就會自動給你的數據加密。即便有黑客用嗅探器把這些電磁波信號抓到了,他們拿到的也只是加密過的密文,想解開也是一件極難的事兒。
而不設置密碼的免費Wi-Fi,數據就不再加密。
天下沒有免費的午餐。沒有密碼的免費Wi-Fi,不太可能是有人忘記了設置密碼,更有可能是有人釋放誘餌。當你的手機或電腦連著這個Wi-Fi上網時,一切數據都要經過他的電腦,他可以把數據全都保留下來分析。
而且這裡面絕大部分的信息都是原文,只有少部分軟件在法律要求下,在登錄或支付環節額外加了密。但僅僅是那些沒加密的部分,就已經足夠讓一個黑客分析出相當多關鍵信息了。
面對這種風險,最好的規避方法就是不連那些沒有密碼的Wi-Fi。
5
除了這些,還有一些和網絡安全有關的小tips,你也可以注意一下。
你可以看看瀏覽器網頁的地址欄,會發現在www之前還有個前綴。如果這個前綴是http://,安全程度就稍微低一些;開頭是https://的網站更安全,因為它會對網站真實性做驗證。
現在大約一半以上的網頁,都已經改成https開頭的了。你熟悉的絕大部分網站都是這樣的,只有那些基本不承擔用戶功能,只是單向傳輸信息的頁面,為了提高使用效率還用http。
比如像網易、新浪的首頁,現在已經都是用https了;而細分到娛樂、體育、汽車、軍事,可能用的就是http。
一旦涉及到用戶登錄界面,一定都得是https開頭的才行。如果你發現哪個網站在輸入用戶名和密碼的界面沒有使用https,這個網站就非常不值得信任。
想看出一個網站到底用了https還是沒用,其實也不難,看一下地址欄的開頭就行了。有些就在https的前面帶一個鎖一樣的圖標,而不把https寫出來,這個也是安全的。總的來說不難判斷,稍加留意就能區別出來。
一些假網站,比如說假淘寶、假京東,只憑肉眼我們是無法從頁面設計、佈局上區分出來的。當你輸入用戶名和密碼之後,發現並沒有進入登錄後的頁面,或者總是反覆提示你密碼錯誤時,其實你輸入的用戶名和密碼已經被假網站收集到手了。它們有了這些信息,就可以幹很多事情。
要想防範這種漏洞,你可以選擇用一些比較好的瀏覽器。而且瀏覽器市場競爭也很激烈,我們在軟件市場能下載到的瀏覽器,基本都有自動識別假網站的功能。
比如說你不小心點了假淘寶,如果是假頁面,瀏覽器就不會直接顯示出來,而是會先彈出一個大大的紅色警告,告訴你下面的頁面可能有嚴重風險,你可以選擇要不要繼續打開。這一步可不是多餘的,你只要不一意孤行,硬要輸入用戶名和密碼,就可以躲過去。
你看,在這種情況下,密碼失守其實並不是密碼學失效,而是有人故意欺騙,導致人們操作失誤造成的。
所以總體來說,在密碼的保護下,大部分信息流通和商品交易都是可靠的。知道了上面這幾個典型的操作失誤的例子,就足夠我們避免絕大多數的風險了。
