連接到公共WiFi網路時,如果沒有採取必要的預防措施,可能會非常危險。你有可能讓駭客造訪你的網路瀏覽活動或帳戶詳細信息,你的網路流量也可能被攔截或篡改。雖然HTTPS的普及已經減輕了許多這些風險,但改變你的瀏覽行為並使用虛擬私人網路(VPN)仍然是確保在免費WiFi和公共WiFi網路上安全的建議。
隨著全球超過3.5億個熱點的成長,免費公共WiFi已成為數百萬網路使用者每天不可或缺的工具。
公司通常誇大公共WiFi的風險,以便出售安全產品。事實上,公共WiFi並不像人們所說的那麼危險。由於HTTPS的興起,你在公共WiFi網路上比以往任何時候都更安全。
但公共WiFi並不是沒有風險。當你在沒有採取必要預防措施的情況下造訪不安全的網路時,你有可能讓駭客造訪你的瀏覽活動、敏感帳號資訊等。
公共WiFi網路的危險
儘管HTTPS的普及,公共WiFi網路仍存在以下風險:
- 未加密的WiFi:如果你可以在沒有密碼的情況下連接到WiFi熱點,任何人都可以攔截你的未加密流量。
- HTTP網站:今天大多數網站使用HTTPS加密,但那些沒有使用的會讓你的資料和裝置容易受到攻擊。
- 中間人攻擊(MitM):駭客可以攔截你的網路流量,插入惡意程式碼或重定向你的流量。
- 假熱點和惡意雙胞胎攻擊:這些是為從連接裝置中竊取資料而設置的惡意熱點。
- DNS欺騙:這種攻擊會將你的網路流量引導到惡意網站。
- 會話劫持:這種攻擊使用不安全的cookie來控制你的線上帳戶。
幸運的是,你可以採取幾個簡單的步驟來減輕公共WiFi的危險並保護你的個人資訊。只要做一些準備,你就可以在免費WiFi上安全上網,而無需擔心可能的危險。
如何在公共WiFi網路上保持安全
以下是當你使用免費或公共WiFi網路時,保護你資訊的方法:
- 使用VPN:透過使用安全的虛擬私人網路(VPN)加密你的網路流量來保護自己。
- 改變你的瀏覽行為:只連接有密碼保護的網絡,避免分享任何敏感信息,並儘可能詢問官方的WiFi名稱。
- 更改裝置設定:停用自動WiFi連接,開啟裝置的防火牆,並保持軟體更新。
- 啟用雙重認證:透過增加額外的登入認證層來保護你的帳號避免密碼盜竊。
公共WiFi網路安全嗎?
公共WiFi比以往任何時候都更安全。由於HTTPS加密和加密WiFi熱點的興起,攻擊者攔截和更改你資料的難度比以前大多了。
然而,一些安全風險仍然存在。如果你連接到一個被攻陷的WiFi熱點,攻擊者可能會看到你的網路活動或入侵你的裝置。
在某些情況下,攻擊者可能會入侵一個免費的WiFi路由器,以便將所有流量轉向銀行或購物網站的惡意複製。這會使他們在你嘗試透過該公共WiFi路由器使用這些服務時竊取你的登入資訊。
即使使用合法的公共WiFi,也存在隱私風險。 WiFi業者可能仍然能夠監控和記錄你造訪的網站,並將這些資訊與第三方分享。
VPN能在公共WiFi上保護你嗎?
使用VPN可以透過加密從你裝置發出的所有流量來保護你在公共WiFi網路上的網路流量。如果有人試圖在你連接到不安全的網路時監控或攔截你的網路流量,他們看到的只是一堆毫無意義的字母和數字。
我們使用Wireshark驗證了NordVPN確實能夠加密和保護我們的網路流量。
這可以防止WiFi業者看到你的瀏覽活動,也可以防止攻擊者篡改你的網路流量或協調攻擊。
公共WiFi網路的真正危險
免費WiFi網路比過去更安全。然而,公共WiFi並非沒有風險。如果你沒有採取必要的預防措施,你的流量仍然可能被攻擊者攔截和竄改。
儘管HTTPS的興起,2024年的公共WiFi網路仍存在一些風險。
如果WiFi熱點被攻陷或由攻擊者操作,你的資料和裝置安全可能會受到威脅。
以下是2024年公共WiFi網路帶來的真實危險的更詳細清單:
未加密的WiFi網絡
大多數公共WiFi網路現在都是密碼保護的,這意味著它們是加密的。如果你連接到一個密碼保護的網絡,網路外部的用戶攔截你的連接,他們將無法解密你的資料以理解它。
如果你連接到一個沒有密碼的免費WiFi網絡,你使用的是沒有加密的不安全連接,這要不安全得多。在這種情況下,你在線上所做的一切都可能被範圍內的其他人捕獲和理解。
即使你連接到一個密碼保護的網絡,仍然存在潛在的風險。首先,運行接入點的人仍然可以攔截和理解你在做什麼,所以你依賴網路擁有者的可信度。
其次,即使是在密碼保護的WiFi網路上,攔截和解密你的網路流量仍然是技術上可能的。這一切都取決於WiFi網路的安全性。
例如,在使用WEP加密的網路上,所有資料都使用你用於進入網路的預共享金鑰(即WiFi密碼)加密。這意味著網路上的每個人都可以毫無問題地解密其他人的流量。
在WPA-PSK或WPA2-PSK網路上,這有點困難,它們使用個別的會話加密金鑰。然而,這並非不可能。這些密鑰是從預先共享密鑰(WiFi密碼)派生的,這仍然構成潛在風險。
WPA2-PSK網路更安全,因為它使用個別的加密金鑰。
在WPA-Enterprise或WPA2-Enterprise網路上,所有每個客戶端的每個會話金鑰都是完全獨立衍生的,這意味著不可能解碼其他使用者的流量。在這種情況下,攻擊者需要設定一個假熱點以取得你的資料。
HTTPS與HTTP網站
今天大多數網站使用稱為HTTPS的加密連接,使用TLS(傳輸層安全性)來保護你設備與網路伺服器之間傳遞的訊息。
HTTPS是HTTP協定的加密版本,是造訪網頁的基本網際網路標準。它阻止了大多數第三方看到你在網站上做什麼,也阻止他們在你的網路流量中插入惡意程式碼。
如果你造訪的網站啟用了HTTPS,你會在瀏覽器網址列的左上角看到一個鎖形圖示:
HTTPS讓公共WiFi和整個網路更安全。然而,HTTPS並不保證你在網路上是安全的,尤其是在公共網路上。你仍然容易受到一些中間人攻擊、網路釣魚、憑證授權單位問題和SSL/TLS中的任何漏洞的影響。
最重要的是, HTTPS不會保護你的DNS查詢,這些查詢可以被攔截和篡改以將你重新導向到他們控制的其他伺服器。因此,我們建議在使用HTTPS的同時使用VPN。
專家提示:HTTPS確認你的連接是加密的,但不能保證你連接到的是你認為的網站。即使你在網址列中看到一個鎖形圖標,也要確保你沒有被轉到一個名稱相似但不同的網域。
HTTPS將防止WiFi網路供應商看到你造訪的單一頁面,但他們仍然可以看到你瀏覽的網站網域。
今天最受歡迎的網站都使用HTTPS保護,但你仍然需要注意那些沒有使用的網站。攻擊者可以輕鬆監控你的活動或在未加密的(HTTP)網路流量中插入惡意程式碼,而且它也可以被WiFi提供者監控和記錄。
有些啟用安全連線的網站可能不會預設使用它:Google報告說,在前100個非Google網站中,有3個網站沒有使用安全連線。要在這些網站上保持安全,你需要使用VPN或一個強制HTTPS連線的瀏覽器擴充功能。
令人擔憂的是,Google的訪客有5%沒有使用HTTPS,因為他們使用的裝置或軟體太舊,無法支援現代加密標準。如果你使用的設備太舊,無法支援HTTPS,考慮升級你的設備。
中間人攻擊(MitM)
中間人攻擊是指惡意第三方中斷或改變兩個系統之間通訊的任何情況。
當公共WiFi發生中間人攻擊時,攻擊者會中斷你的電腦與你試圖連接的網路伺服器之間的連線。
使用公共WiFi網路會增加你遭受中間人攻擊的風險。
在不安全的網路上,攻擊者可以**更
改變主要部分的網路流量,重定向此流量,或將惡意內容**注入現有資料包中。
攻擊者可以顯示一個假網站或登入表單,替換連結為惡意替代品,添加圖片等等。
駭客還可以誘騙人們洩露或更改他們的密碼,暴露高度個人的資訊。
中間人攻擊受到駭客歡迎,因為它們便宜、容易且有效。駭客只需要類似WiFi鳳梨這樣的一些工具——一種看起來像WiFi路由器的便攜設備,價格僅120.00美元。
120.00美元的WiFi菠蘿允許幾乎任何人利用公共網路收集個人資料。
這些簡單的設備使幾乎任何人都可以創建一個假WiFi接入點並進行中間人攻擊。它們在大多數電腦硬體商店都有售。
WiFi菠蘿可以同時與數百台設備對接。安全研究人員使用它來執行公共WiFi網路上的攻擊,以測試網路的安全性並了解如何保護它避免攻擊。
然而,在錯誤的手中,這顯然是一個危險的工具。攻擊者可以輕鬆地使用WiFi鳳梨從毫無戒心的公共WiFi用戶收集敏感的個人資料。
WiFi鳳梨也可以用於運行SSLstrip,一種將安全的HTTPS請求更改為不安全的HTTP等效項的軟體。
現代瀏覽器設計了可以讓網頁伺服器告訴瀏覽器他們應該使用HTTPS,這有助於對抗這種情況。然而,這種保護在你第二次造訪網站時才會生效。
假熱點與惡意雙胞胎攻擊
假熱點或「惡意雙胞胎攻擊」是公共WiFi連線中最常見且最危險的威脅之一。攻擊者可以使用它們來竊取你的未加密資料並滲透你的裝置。
要進行這種攻擊,攻擊者只需模仿一個看似合法名稱的公共WiFi網絡,如“Free_Cafe_WiFi”,並等待他們的受害者連接。技術不太高明的駭客甚至可能選擇諸如“FREE INTERNET”之類的名稱來吸引人們。
惡意雙胞胎攻擊非常容易實施——你可以看到一個七歲小孩在11分鐘內就做到了這一點。
WiFi菠蘿甚至可以主動掃描SSID訊號。這些訊號由手機用於尋找和連接到已知WiFi網路。假熱點可以透過複製這些SSID訊號來冒充熟悉的網路。
這意味著任何擁有WiFi菠蘿的人都可以欺騙你的手機或筆記型電腦僅通過在附近設置一個危險的WiFi網路。對於用戶來說,這似乎是他們之前連接過的網路。
很容易上當受騙連接到假WiFi熱點。在2016年美國共和黨大會上,超過1200人連接到未知的免費WiFi網絡,因為這些網路的名稱像是「I Vote Republican! Free Internet」。結果,68%的用戶在大會上暴露了他們的身份。
這些是Avast設立的假網絡,以提醒人們公共WiFi的危險——但後果可能非常嚴重。
對於自動連接到網絡,尤其是網絡名稱或位置看起來可疑時,一定要格外小心。
DNS欺騙
DNS欺騙或’DNS快取中毒’是一種特定類型的中間人攻擊,目的是為了將流量從合法伺服器轉移並重定向到假伺服器。在不受保護的公共WiFi網路上,這種攻擊特別流行。
每當你連接到網站時,你的裝置都會發送DNS查詢。當你在瀏覽器網址列輸入URL時,你先聯絡一個DNS名稱伺服器,它會找到你要找的網域名稱(如example.com)對應的IP地址(如192.168.1.1)。
DNS欺騙是當第三方更改DNS名稱伺服器解析器快取中的項目。這就像更改目錄中的電話號碼一樣——如果有人更改了’example.com’的條目,任何試圖造訪該網站的用戶都會被發送到駭客指定的不同IP地址。
DNS欺騙透過將你的流量重新導向到假伺服器來運作。
透過這種方式,攻擊者可以將使用者傳送到看起來幾乎與預定目標相同的網路釣魚網站。這些網站目的是為了誘騙用戶輸入敏感數據,如用戶名和密碼。
通常,公共WiFi熱點由技術知識不足的小型企業營運。他們可能沒有更改預設密碼,也可能沒有更新韌體。
駭客可以在不安全的路由器上安裝惡意軟體。這些惡意軟體將所有DNS查詢傳送到他們的惡意伺服器。攻擊者可以將合法網站的流量重新導向到惡意軟體和網路釣魚網站。
會話劫持
會話劫持是另一種中間人攻擊,允許惡意第三方獲得對你線上帳戶的完全控制權。由於HTTPS的普及,這種風險比以前小得多。
駭客可以透過會話劫持竊取你的身分。
「會話」是兩個通訊設備之間建立的臨時狀態,例如你的設備和你試圖連接的網路伺服器。會話透過認證協定建立,這些協定確保設備知道對方是誰。
當你登入網站時,你會指派一個會話cookie——一個包含你與網站伺服器互動細節的檔案。當你瀏覽網站時,伺服器會要求你的機器重新發送這個cookie進行認證。
會話劫持複製這些cookie來冒充你的裝置並竊取你的身分。
最有價值的會話cookie是那些發送給登入高度安全網站(如購物或銀行網站)的使用者。
在不安全的網路上,攻擊者可以使用一種稱為「會話嗅探器」的專業軟體來識別和攔截你的會話cookie。
會話嗅探軟體非常容易獲取,儘管使用它進行竊聽和資料窺探是非法的。
如何在公共WiFi網路上保持安全
你可以採取幾個步驟來保護你的資料和裝置在公共WiFi網路上。
在本節中,我們將向你講解如何使用VPN加密你的網路流量、如何改變你的瀏覽行為,以及如何設定你的裝置設定以提高安全性。
1. 使用虛擬私人網路(VPN)
如果你經常使用公共WiFi網絡,那麼虛擬私人網路(VPN)是你可以做出的最好的投資之一,可以提供安全和安心。
一個好的公共WiFi VPN可以處理我們在本指南中提到的所有潛在威脅,無論你使用哪個網路。簡而言之,VPN透過加密你的網路流量、透過安全隧道傳輸並隱藏你的真實IP地址來保持你的瀏覽安全。
一個好的VPN是在任何網路連線上保持安全的最簡單方法。
VPN在你的裝置和私人VPN伺服器之間建立一個安全隧道。然後,該伺服器將你的流量轉發到你造訪的網站或應用程式。
當你使用VPN時,你所有的網路流量都會被加密。如果有人監控你的網路連接,他們看到的只是一堆毫無意義的字母和數字。
這可以阻止WiFi運營者監控你的活動,並防止攻擊者篡改你的網路流量。如果VPN有自己的第一方DNS伺服器,你的DNS要求也無法被欺騙或重新導向。
透過其伺服器或連接協定中的漏洞, VPN仍然可能被駭客攻擊。它不是完全在線安全的萬無一失的工具,但它仍然是任何注重安全的用戶工具包中必不可少的一部分。
2. 改變你的瀏覽行為
雖然公共WiFi比以前更安全,但你不能完全消除風險。路由器可能會被遠端攻擊,熱點可能會被駭客在繁忙的地方設定來收集資訊。
因此,當你使用不熟悉的網路時,特別是如果你沒有使用VPN服務時,仍然需要注意你的線上行為。一旦你的個人資訊被暴露,想要將其從網路上刪除是非常困難的。
以下是在公共WiFi上不應該做的事情:
- 使用不可信任的WiFi網路。知名飯店和咖啡館提供的WiFi比隨機熱點更安全,但仍有安全風險。很容易看出咖啡館或酒店如何以及為什麼支付他們提供的WiFi,但任何提供完全免費WiFi服務的人可能會透過利用你的數據來賺錢。
- 使用不安全的WiFi網路。你會知道一個網路是不安全的,如果它不需要密碼就能加入。大多數合法的免費WiFi熱點都是密碼保護和加密的,以保護你的資料。
- 安裝軟體或憑證以造訪熱點。使用免費WiFi網路不應該需要安裝任何額外的軟體。如果一個網路要求你這麼做,這是一個可能存在可疑活動的紅旗。
- 使用含有敏感資料的服務。如果你必須使用公共WiFi,避免使用可能危害你的個人資訊的服務,如銀行或購物。避免提交你的個人詳細信息,因為你有暴露你的帳戶詳細信息給第三方的風險。
以下是你可以遵循的金額
外在提示,以減少你的風險:
- 在可能的情況下,使用你已經訂閱的網路服務。一些家庭寬頻供應商在公共場所提供WiFi熱點,這些熱點通常更值得信賴。
- 在餐廳或飯店詢問運行人員正確的WiFi名稱。如果附近有多個名稱相似的網絡,這一點尤其重要。記住,假熱點可以使用與真實熱點相同的名稱。駭客可能會透過拒絕服務攻擊迫使真實熱點離線,從而驅使用戶轉向他們的替代品。
- 使用你的手機資料比公共WiFi更安全。你可以使用手機設定一個行動熱點,這樣你就可以透過WiFi連接你的電腦。
- 查找HTTPS。檢查網址列中的鎖形圖標,並確保網站地址正確。
- 完成後退出你使用的任何服務,以便你的會話cookie過期。如果你發現自己在一個非HTTPS網站上,也立即退出。
3. 改變你的裝置設置
你可以對設備進行一些簡單的調整,使它們更不容易受到攻擊:
關閉自動WiFi連接
首先要做的是關閉自動WiFi連線。這將阻止你的設備連接到隨機開放的熱點。
專家提示:記得從你的裝置中刪除公共WiFi網路。保持一個精簡的WiFi網路歷史記錄可以減少你以後連接到假接入點的風險。
在Windows上關閉自動WiFi連線:
- 進入設定選單。
- 點選網路與網際網路> Wi-Fi > 管理已知網路。
- 選擇任何你不想自動連接的網路。
- 取消勾選’在範圍內自動連線’選項。
如何在Windows上停用自動WiFi連線。
在Mac上關閉自動WiFi連線:
- 進入系統偏好設定選單。
- 選擇’網路’。
- 選擇任何你不想自動連接的網路。
- 切換’詢問加入網路’開關,以防止自動連線。
如何在Mac上停用自動WiFi連線。
在iPhone上關閉自動WiFi連線:
- 進入設定選單。
- 點選’WiFi’選項。
- 選擇任何你不想自動連接的網路。
- 切換’自動加入’開關,以防止自動連線。
啟用防火牆
防火牆是網路安全功能,可以監控流入或流出你網路的流量。它根據一組預先定義的安全規則允許或阻止流量,並幫助防止未經授權的造訪你的設備。
大多數計算機現在預設使用防火牆。如果你不確定你的防火牆是打開還是關閉的,值得檢查一下。
專家提示:我們建議安裝可信任的安全軟體。像MalwareBytes這樣的產品提供即時病毒和勒索軟體保護,以及惡意軟體和間諜軟體清理工具。
在Windows上啟用防火牆:
- 開啟開始功能表並進入設定。
- 選擇’隱私和安全’。
- 選擇’Windows安全性’然後選擇’防火牆和網路保護’。
- 確保防火牆已開啟。
如何在Windows上啟用防火牆。
在Mac上啟用防火牆:
- 開啟系統偏好設定選單。
- 選擇’安全與隱私’。(This article is created by how&best)
- 選擇頁面頂部的’防火牆’標籤。
- 點選左下角的鎖定圖示跨區視窗。
- 點選’開啟防火牆’以啟用防火牆。
如何在Mac上啟用防火牆。
軟體更新
保持你的電腦、筆記型電腦或手機盡可能的更新是很重要的。幸運的是,大多數軟體更新是自動啟用的。
軟體更新通常包含安全性修補程式。這些補丁將保護你避免駭客可以輕鬆利用的已知漏洞的侵害。
在公共網路上,可能會觸發一個假的軟體更新提示。因此,你應該永遠不要在公共WiFi上下載軟體更新,特別是如果提示框在你使用該熱點時彈出。
確保斷開連接並在安全和私人的連接上檢查更新。
禁用共享
除非你打算使用檔案共用、藍牙和AirDrop,否則最好將它們關閉。一直開啟它們是沒有必要的,並且增加了惡意軟體感染檔案進入你係統的風險。
在瀏覽器中啟用HTTPS-Only
現代瀏覽器包含HTTPS-Only模式,如果你發現自己在未加密的HTTP版本網站上,它會自動將你移至安全的HTTPS版本。
如果你之前使用HTTPS Everywhere瀏覽器擴充功能來做這件事,現在你不再需要它。從2023年1月起,它已經被棄用並且大部分功能已經冗餘。
在Firefox中啟用HTTPS-Only模式:
- 點選選單按鈕並選擇設定。
- 選擇’隱私與安全’。
- 向下捲動到’HTTPS-Only模式’。
- 使用單選按鈕啟用所有視窗中的HTTPS-Only模式。
在Chrome中啟用HTTPS-Only模式:
- 點選選單按鈕並選擇設定。
- 選擇’隱私和安全’。
- 選擇’安全’。
- 向下捲動到’始終使用安全連線’。
- 點擊切換按鈕將其開啟。
在Edge中啟用HTTPS-Only模式:
- 在瀏覽器中造訪
edge://flags/#edge-automatic-https
。 - 在’自動HTTPS’下,選擇’啟用’。
- 點選按鈕重新啟動瀏覽器。它會保留你的開啟標籤頁。
- 在瀏覽器中造訪
edge://settings/privacy
。 - 向下捲動到’自動切換到更安全的連接與自動HTTPS’。
- 選擇單選按鈕’始終從HTTP切換到HTTPS(連接錯誤可能更頻繁)’。
目前, Edge只提供HTTPS-Only作為開發者功能,因此希望未來它將更容易啟用和停用。
要在Safari中啟用HTTPS-Only模式,只需升級你的瀏覽器到macOS Big Sur和macOS Catalina的Safari 15或更高版本。瀏覽器會自動啟用其HTTPS升級功能。
啟用DNS over HTTPS
正如我們已經提到的,在HTTPS連接期間你的DNS請求仍然暴露。 DNS over HTTPS(DoH)是一種透過加密你的DNS查詢來填補這些裂縫的技術。
然而,它只有在你使用相容的DNS伺服器時才有效,例如Google Public DNS或Cloudflare。
在Firefox中,你可以在瀏覽器的’網路’設定中啟用DNS over HTTPS。
在Chrome中,DNS over HTTPS稱為Secure DNS,並在:設定> 隱私與安全性> 安全性中啟用。
在Edge中,找到該選項:設定> 隱私、搜尋和服務> 安全性> 使用安全DNS。
4. 啟用雙重認證
在你的線上帳戶上啟用雙重認證( 2FA)可以大大保護你避免資料竊取。
啟用2FA後,即使駭客設法取得了你的使用者名稱和密碼,他們也無法在沒有額外驗證代碼的情況下登入你的帳號。
常見問題
我如何確保公共WiFi是安全的?
始終確保你連接到一個合法的、受密碼保護的WiFi網路。如果你不知道誰在運作這個網絡,不要連接。
確保在公共WiFi上安全的最簡單方法是使用VPN,它將加密你裝置發出的所有流量。
即使你連接到一個被攻陷的WiFi熱點,VPN也會阻止熱點業者窺探你的連線或竄改你的網路流量。
公共WiFi可以看到你的瀏覽紀錄嗎?
如果你沒有使用VPN,WiFi所有者可以看到你造訪了哪些網站,即使它們使用HTTPS加密。如果網站沒有使用HTTPS加密,WiFi業者還可以看到你造訪的每個特定網頁。大多數路由器會記錄透過它們造訪的網站。