现在,Wi-Fi已经是我们每个人生活的必需品了。不过平时你肯定也看过不少这样的新闻:黑客通过家庭Wi-Fi盗取了个人信息,造成隐私泄漏,甚至财产损失。你一定会想,这种情况真的很容易发生吗,或者有没有方法能让自家的Wi-Fi不被盗?
1
关于Wi-Fi安全的问题,我们常常会觉得危机四伏,我先给你吃个定心丸:其实当前所有和隐私跟财产有关的应用,都已经被妥善地保护起来了。
这种保护一方面来自于密码学,另一方面来自于法律法规。也就是说对于特定的应用,法律会规定一定要采用某种级别以上的加密法。
所以绝大部分人即便完全没有意识到密码和安全保护的存在,只是正常使用,也基本不会遭遇破解。这种安全程度,就像我们绝大多数人不用了解飞机制造和航空管理的细节,只要正常乘坐商业航班,一般都会安全抵达目的地那样。
但你可能的确在新闻里听说过密码被破然后财产受损的事,你是不是好奇,不是都妥善保护好了吗,为什么还会有这样的新闻呢?
从密码学角度,我们确实已经做的挺好。但漏洞往往出在实际使用时的操作失误,或者人的惰性上。
人性的弱点也是密码的弱点,而这些人性上的弱点是密码学很难补齐的。黑客们就会从这些方面下手。
知道了这些你就会明白,想在日常生活中让密码更安全,不仅需要加强密码学知识,还要避免操作失误,更要对抗人性的弱点。
2
为什么这么说呢?我们先来看看Wi-Fi密码是怎么被盗走的。
最简单的方法,就是用户自己的操作失误。比如,无线路由要正常工作,需要设置好几套密码,可能有些人只知道Wi-Fi的那套用户名和密码,忽略了另外几套。很多Wi-Fi密码,就是这样被别人知道的。
具体来说,路由器里有很多可以自己设置的参数,比如说谁可以登录、流量限制等,其中也包含Wi-Fi名称和密码这一项。
要设置这些参数,就需要另外一套用户名和密码,这套密码就跟Wi-Fi的名称和密码是不同的。不少品牌的路由器用户名会默认ADMIN,密码默认也是ADMIN,地址往往是192.168.1.1。这本来是为了让人们第一次使用时方便上手。使用者本应在第一次使用之后,就改掉这套默认的ADMIN的,就像咱们第一次办银行卡,银行卡都会有一个默认密码,大家会马上改掉。
但很多人不知道这一点,尤其是对IT不了解的人,而且很多人当初搭建Wi-Fi时就是找人帮忙的,帮忙者也许觉得多一事不如少一事,这个默认值也就一直没改掉。
这种情况下,设置好的无线路由就仍然处在任何人都可以通过ADMIN登陆、更改设置的状态。假如我知道这个漏洞,就可以进入路由设置界面,把Wi-Fi密码下的选项点选成可见,就能看到用户名和密码了,也就可以免费蹭别人的网了。
预防这种漏洞的方法也很简单,就是改掉路由器设置界面那套默认的用户名和密码。
3
当然,这个例子是最简单的,稍稍复杂一些的方法也有。
比如,在安卓的手机系统里有一个文件夹,它就保存着你登陆过的Wi-Fi的名称和密码。这样你下次再登录时,一切都是自动的,不用重新填。
一般情况下,这个文件夹是没法访问的,但有些人的手机刷了root权限后,这个文件夹就可以访问了,这里存的Wi-Fi用户名和密码就可见了。
可能大家用过一个叫做“万能钥匙”的软件,有了它很多有密码的Wi-Fi你都可以连上。其实当你安装上那个App以后,它就会把你手机里存储了Wi-Fi用户名和密码的文件,上传到它的服务器上。
积累的比较多了之后,有用户再使用万能钥匙时,软件端就会先根据Wi-Fi名称查查服务器上有没有对应的密码,有的话就发给用户试试,有时候就这样成功连上了。
你看,Wi-Fi密码就这样被盗用了。
有很多人不理解,“他顶多蹭了我的网,那又怎样呢?我不在乎啊”。但是我要告诉你WiFi被盗的背后藏着很多陷阱——如果黑客能把你的无线路由器设置权限都拿到,那连在这个路由上的所有人的隐私就都保不住了。
黑客可以登录路由器看看主人使用过哪些设备,比如手机、平板,或者电视盒子,然后从流量日志中发现对方的微信、微博、QQ、淘宝、京东的账号,说不定还有那些没有加密的照片。
有人又说了,我没有什么见不得人的隐私,微信、QQ、微博都是可以公开的,照片被看也无所谓。
但不止于此,黑客还可以实时知道你登录了哪些页面,然后就能利用一些跳转链接的动作,把你劫持到咱们刚说的假页面上。
你上一秒还在真淘宝上,下一秒链接就已经跳到了假淘宝,在你重新输入用户名和密码后,隐私和钱就都不保了。
还有,那些把手机root权限打开的操作,更是把自己的隐私门户大开。App如果拿到了这个权限之后,就可以干任何事了。
这个漏洞怎么避免呢?
方法也很简单,就是把路由器默认的那套用来设置参数的用户名和密码改掉,不刷机开root权限,或者干脆使用苹果手机。
你看,这个问题也不是密码学失守,还是属于操作失误。
为了蹭网下一些蹭网软件,结果自己却冒了这么大的风险,这也不是密码学失守,而是那些软件利用了人们贪小便宜的人性弱点。
4
咱们再来说说,为什么说没有设置密码的Wi-Fi也不要用呢?
如果你的Wi-Fi是自己设置的,一定会在设置密码时遇到一个选项,就是Wi-Fi的加密方式,一般是WPA2-PSK。
有了它,无线路由在传输数据的时候,就会自动给你的数据加密。即便有黑客用嗅探器把这些电磁波信号抓到了,他们拿到的也只是加密过的密文,想解开也是一件极难的事儿。
而不设置密码的免费Wi-Fi,数据就不再加密。
天下没有免费的午餐。没有密码的免费Wi-Fi,不太可能是有人忘记了设置密码,更有可能是有人释放诱饵。当你的手机或电脑连着这个Wi-Fi上网时,一切数据都要经过他的电脑,他可以把数据全都保留下来分析。
而且这里面绝大部分的信息都是原文,只有少部分软件在法律要求下,在登录或支付环节额外加了密。但仅仅是那些没加密的部分,就已经足够让一个黑客分析出相当多关键信息了。
面对这种风险,最好的规避方法就是不连那些没有密码的Wi-Fi。
5
除了这些,还有一些和网络安全有关的小tips,你也可以注意一下。
你可以看看浏览器网页的地址栏,会发现在www之前还有个前缀。如果这个前缀是http://,安全程度就稍微低一些;开头是https://的网站更安全,因为它会对网站真实性做验证。
现在大约一半以上的网页,都已经改成https开头的了。你熟悉的绝大部分网站都是这样的,只有那些基本不承担用户功能,只是单向传输信息的页面,为了提高使用效率还用http。
比如像网易、新浪的首页,现在已经都是用https了;而细分到娱乐、体育、汽车、军事,可能用的就是http。
一旦涉及到用户登录界面,一定都得是https开头的才行。如果你发现哪个网站在输入用户名和密码的界面没有使用https,这个网站就非常不值得信任。
想看出一个网站到底用了https还是没用,其实也不难,看一下地址栏的开头就行了。有些就在https的前面带一个锁一样的图标,而不把https写出来,这个也是安全的。总的来说不难判断,稍加留意就能区别出来。
一些假网站,比如说假淘宝、假京东,只凭肉眼我们是无法从页面设计、布局上区分出来的。当你输入用户名和密码之后,发现并没有进入登录后的页面,或者总是反复提示你密码错误时,其实你输入的用户名和密码已经被假网站收集到手了。它们有了这些信息,就可以干很多事情。
要想防范这种漏洞,你可以选择用一些比较好的浏览器。而且浏览器市场竞争也很激烈,我们在软件市场能下载到的浏览器,基本都有自动识别假网站的功能。
比如说你不小心点了假淘宝,如果是假页面,浏览器就不会直接显示出来,而是会先弹出一个大大的红色警告,告诉你下面的页面可能有严重风险,你可以选择要不要继续打开。这一步可不是多余的,你只要不一意孤行,硬要输入用户名和密码,就可以躲过去。
你看,在这种情况下,密码失守其实并不是密码学失效,而是有人故意欺骗,导致人们操作失误造成的。
所以总体来说,在密码的保护下,大部分信息流通和商品交易都是可靠的。知道了上面这几个典型的操作失误的例子,就足够我们避免绝大多数的风险了。
