连接到公共WiFi网络时,如果没有采取必要的预防措施,可能会非常危险。你有可能让黑客访问你的网络浏览活动或账户详细信息,你的网络流量也可能被拦截或篡改。虽然HTTPS的普及已经减轻了许多这些风险,但改变你的浏览行为并使用虚拟专用网络(VPN)仍然是确保在免费WiFi和公共WiFi网络上安全的建议。
随着全球超过3.5亿个热点的增长,免费公共WiFi已经成为数百万网络用户每天必不可少的工具。
公司通常夸大公共WiFi的风险,以便出售安全产品。事实上,公共WiFi并不像人们所说的那么危险。由于HTTPS的兴起,你在公共WiFi网络上比以往任何时候都更安全。
但公共WiFi并不是没有风险。当你在没有采取必要预防措施的情况下访问不安全的网络时,你有可能让黑客访问你的浏览活动、敏感账户信息等。
公共WiFi网络的危险
尽管HTTPS的普及,公共WiFi网络仍然存在以下风险:
- 未加密的WiFi:如果你可以在没有密码的情况下连接到WiFi热点,任何人都可以拦截你的未加密流量。
- HTTP网站:今天大多数网站使用HTTPS加密,但那些没有使用的会让你的数据和设备容易受到攻击。
- 中间人攻击(MitM):黑客可以拦截你的网络流量,插入恶意代码或重定向你的流量。
- 假热点和恶意双胞胎攻击:这些是为从连接设备中窃取数据而设置的恶意热点。
- DNS欺骗:这种攻击会将你的网络流量引导到恶意网站。
- 会话劫持:这种攻击使用不安全的cookie来控制你的在线账户。
幸运的是,你可以采取几个简单的步骤来减轻公共WiFi的危险并保护你的个人信息。只需做一些准备,你就可以在免费WiFi上安全上网,而无需担心可能存在的危险。
如何在公共WiFi网络上保持安全
以下是当你使用免费或公共WiFi网络时,保护你信息的方法:
- 使用VPN:通过使用安全的虚拟专用网络(VPN)加密你的网络流量来保护自己。
- 改变你的浏览行为:只连接有密码保护的网络,避免分享任何敏感信息,并尽可能询问官方的WiFi名称。
- 更改设备设置:禁用自动WiFi连接,开启设备的防火墙,并保持软件更新。
- 启用双因素认证:通过添加额外的登录认证层来保护你的账户免受密码盗窃。
公共WiFi网络安全吗?
公共WiFi比以往任何时候都更安全。由于HTTPS加密和加密WiFi热点的兴起,攻击者拦截和更改你数据的难度比以前大多了。
然而,一些安全风险仍然存在。如果你连接到一个被攻陷的WiFi热点,攻击者可能会看到你的网络活动或入侵你的设备。
在某些情况下,攻击者可能会入侵一个免费的WiFi路由器,以便将所有流量转向银行或购物网站的恶意克隆。这会使他们在你尝试通过该公共WiFi路由器使用这些服务时窃取你的登录信息。
即使使用合法的公共WiFi,也存在隐私风险。WiFi运营者可能仍然能够监控和记录你访问的网站,并将这些信息与第三方共享。
VPN能在公共WiFi上保护你吗?
使用VPN可以通过加密从你设备发出的所有流量来保护你在公共WiFi网络上的网络流量。如果有人想要在你连接到不安全的网络时监控或拦截你的网络流量,他们看到的只是一堆毫无意义的字母和数字。
我们使用Wireshark验证了NordVPN确实能够加密和保护我们的网络流量。
这可以防止WiFi运营者看到你的浏览活动,也可以防止攻击者篡改你的网络流量或协调攻击。
公共WiFi网络的真正危险
免费WiFi网络比过去更安全。然而,公共WiFi并非没有风险。如果你没有采取必要的预防措施,你的流量仍然可能被攻击者拦截和篡改。
尽管HTTPS的兴起,2024年的公共WiFi网络仍然存在一些风险。
如果WiFi热点被攻陷或由攻击者操作,你的数据和设备安全可能会受到威胁。
以下是2024年公共WiFi网络带来的真实危险的更详细列表:
未加密的WiFi网络
大多数公共WiFi网络现在都是密码保护的,这意味着它们是加密的。如果你连接到一个密码保护的网络,网络外部的用户拦截你的连接,他们将无法解密你的数据以理解它。
如果你连接到一个没有密码的免费WiFi网络,你使用的是没有加密的不安全连接,这要不安全得多。在这种情况下,你在线上做的一切都可能被范围内的其他人捕获和理解。
即使你连接到一个密码保护的网络,仍然存在潜在的风险。首先,运行接入点的人仍然可以拦截和理解你在做什么,所以你依赖于网络拥有者的可信度。
其次,即使是在密码保护的WiFi网络上,拦截和解密你的网络流量仍然是技术上可能的。这一切都取决于WiFi网络的安全性。
例如,在使用WEP加密的网络上,所有数据都使用你用于进入网络的预共享密钥(即WiFi密码)加密。这意味着网络上的每个人都可以毫无问题地解密其他人的流量。
在WPA-PSK或WPA2-PSK网络上,这有点困难,它们使用个别的会话加密密钥。然而,这并非不可能。这些密钥是从预共享密钥(WiFi密码)派生的,这仍然构成潜在风险。
WPA2-PSK网络更安全,因为它使用个别的加密密钥。
在WPA-Enterprise或WPA2-Enterprise网络上,所有每个客户端的每个会话密钥都是完全独立派生的,这意味着不可能解码其他用户的流量。在这种情况下,攻击者需要设置一个假热点以获取你的数据。
HTTPS与HTTP网站
今天大多数网站使用称为HTTPS的加密连接,使用TLS(传输层安全性)来保护你设备与网络服务器之间传递的信息。
HTTPS是HTTP协议的加密版本,是访问网页的基本网络标准。它屏蔽了大多数第三方看到你在网站上做什么,也屏蔽他们在你的网络流量中插入恶意代码。
如果你访问的网站启用了HTTPS,你会在浏览器地址栏的左上角看到一个锁形图标:
HTTPS使公共WiFi和整个网络更安全。然而,HTTPS并不保证你在网上是安全的,尤其是在公共网络上。你仍然容易受到一些中间人攻击、网络钓鱼、证书颁发机构问题和SSL/TLS中的任何漏洞的影响。
最重要的是,HTTPS不会保护你的DNS查询,这些查询可以被拦截和篡改以将你重定向到他们控制的其他服务器。因此,我们建议在使用HTTPS的同时使用VPN。
专家提示:HTTPS确认你的连接是加密的,但不能保证你连接到的是你认为的网站。即使你在地址栏中看到一个锁形图标,也要确保你没有被转到一个名称相似但不同的域名。
HTTPS将防止WiFi网络提供商看到你访问的单个页面,但他们仍然可以看到你浏览的网站域名。
今天最流行的网站都使用HTTPS保护,但你仍然需要注意那些没有使用的网站。攻击者可以很容易地监控你的活动或在未加密的(HTTP)网络流量中插入恶意代码,而且它也可以被WiFi提供商监控和记录。
有些启用安全连接的网站可能不会默认使用它:谷歌报告说,在前100个非谷歌网站中,有3个网站没有使用安全连接。要在这些网站上保持安全,你需要使用VPN或一个强制HTTPS连接的浏览器扩展。
令人担忧的是,谷歌的访客中有5%没有使用HTTPS,因为他们使用的设备或软件太旧,无法支持现代加密标准。如果你使用的设备太旧,无法支持HTTPS,考虑升级你的设备。
中间人攻击(MitM)
中间人攻击是指恶意第三方中断或改变两个系统之间通信的任何情况。
当公共WiFi发生中间人攻击时,攻击者会中断你的电脑与你想要连接的网络服务器之间的连接。
使用公共WiFi网络会增加你遭受中间人攻击的风险。
在不安全的网络上,攻击者可以**更
改关键部分的网络流量,重定向此流量,或将恶意内容**注入现有数据包中。
攻击者可以显示一个假网站或登录表单,替换链接为恶意替代品,添加图片等等。
黑客还可以诱骗人们泄露或更改他们的密码,暴露高度个人的信息。
中间人攻击受到黑客欢迎,因为它们便宜、容易且有效。黑客只需要类似WiFi菠萝这样的一些工具——一种看起来像WiFi路由器的便携设备,价格仅为120.00美元。
120.00美元的WiFi菠萝允许几乎任何人利用公共网络收集个人数据。
这些简单的设备使几乎任何人都可以创建一个假WiFi接入点并进行中间人攻击。它们在大多数计算机硬件商店都有售。
WiFi菠萝可以同时与数百台设备对接。安全研究人员使用它来执行公共WiFi网络上的攻击,以测试网络的安全性并了解如何保护它免受攻击。
然而,在错误的手中,这显然是一个危险的工具。攻击者可以轻松地使用WiFi菠萝从毫无戒心的公共WiFi用户那里收集敏感的个人数据。
WiFi菠萝还可以用于运行SSLstrip,一种将安全的HTTPS请求更改为不安全的HTTP等效项的软件。
现代浏览器设计了可以让网络服务器告诉浏览器他们应该使用HTTPS,这有助于对抗这种情况。然而,这种保护在你第二次访问该网站时才会生效。
假热点和恶意双胞胎攻击
假热点或“恶意双胞胎攻击”是公共WiFi连接中最常见和最危险的威胁之一。攻击者可以使用它们来窃取你的未加密数据并渗透你的设备。
要进行这种攻击,攻击者只需模仿一个看似合法名称的公共WiFi网络,如“Free_Cafe_WiFi”,并等待他们的受害者连接。技术不太高明的黑客甚至可能选择诸如“FREE INTERNET”之类的名称来吸引人们。
恶意双胞胎攻击非常容易实施——你可以看到一个七岁小孩在11分钟内就做到了这一点。
WiFi菠萝甚至可以主动扫描SSID信号。这些信号由手机用于查找和连接到已知WiFi网络。假热点可以通过复制这些SSID信号来冒充熟悉的网络。
这意味着任何拥有WiFi菠萝的人都可以欺骗你的手机或笔记本电脑仅通过在附近设置一个危险的WiFi网络。对于用户来说,这似乎是他们之前连接过的网络。
很容易上当受骗连接到假WiFi热点。在2016年美国共和党大会上,超过1200人连接到未知的免费WiFi网络,因为这些网络的名称像是“I Vote Republican! Free Internet”。结果,68%的用户在大会上暴露了他们的身份。
这些是Avast设立的假网络,以提醒人们公共WiFi的危险——但后果可能会非常严重。
对于自动连接到网络,尤其是网络名称或位置看起来可疑时,一定要格外小心。
DNS欺骗
DNS欺骗或‘DNS缓存中毒’是一种特定类型的中间人攻击,旨在将流量从合法服务器转移并重定向到假服务器。在不受保护的公共WiFi网络上,这种攻击特别流行。
每当你连接到网站时,你的设备都会发送DNS查询。当你在浏览器地址栏中输入URL时,你首先联系一个DNS名称服务器,它会找到你要找的域名(如example.com)对应的IP地址(如192.168.1.1)。
DNS欺骗是当第三方更改DNS名称服务器解析器缓存中的条目。这就像更改目录中的电话号码——如果有人更改了‘example.com’的条目,任何想要访问该网站的用户都会被发送到黑客指定的不同IP地址。
DNS欺骗通过将你的流量重定向到假服务器来工作。
通过这种方式,攻击者可以将用户发送到看起来几乎与预定目标相同的网络钓鱼网站。这些网站旨在诱骗用户输入敏感数据,如用户名和密码。
通常,公共WiFi热点由技术知识不足的小型企业运营。他们可能没有更改默认密码,可能也没有更新固件。
黑客可以在不安全的路由器上安装恶意软件。这些恶意软件将所有DNS查询发送到他们的恶意服务器。攻击者可以将合法网站的流量重定向到恶意软件和网络钓鱼网站。
会话劫持
会话劫持是另一种中间人攻击,允许恶意第三方获得对你在线账户的完全控制权。由于HTTPS的普及,这种风险比以前小得多。
黑客可以通过会话劫持窃取你的身份。
“会话”是两个通信设备之间建立的临时状态,例如你的设备和你想要连接的网络服务器。会话通过认证协议建立,这些协议确保设备知道对方是谁。
当你登录一个网站时,你会分配一个会话cookie——一个包含你与网络服务器互动细节的文件。当你浏览网站时,服务器会要求你的机器重新发送这个cookie进行认证。
会话劫持复制这些cookie来冒充你的设备并窃取你的身份。
最有性价比的会话cookie是那些发送给登录高度安全网站(如购物或银行网站)的用户。
在不安全的网络上,攻击者可以使用一种称为“会话嗅探器”的专业软件来识别和拦截你的会话cookie。
会话嗅探软件非常容易获取,尽管使用它进行窃听和数据窥探是非法的。
如何在公共WiFi网络上保持安全
你可以采取几个步骤来保护你的数据和设备在公共WiFi网络上。
在本节中,我们将向你讲解如何使用VPN加密你的网络流量、如何改变你的浏览行为,以及如何配置你的设备设置以提高安全性。
1. 使用虚拟专用网络(VPN)
如果你经常使用公共WiFi网络,那么虚拟专用网络(VPN)是你可以做出的最好的投资之一,可以提供安全和安心。
一个好的公共WiFi VPN可以应对我们在本指南中提到的所有潜在威胁,无论你使用哪个网络。简而言之,VPN通过加密你的网络流量、通过安全隧道传输并隐藏你的真实IP地址来保持你的浏览安全。
一个好的VPN是在任何网络连接上保持安全的最简单方法。
VPN在你的设备和私人VPN服务器之间创建一个安全隧道。然后,该服务器将你的流量转发到你访问的网站或机场梯子。
当你使用VPN时,你所有的网络流量都会被加密。如果有人监控你的网络连接,他们看到的只是一堆毫无意义的字母和数字。
这可以屏蔽WiFi运营者监控你的活动,并防止攻击者篡改你的网络流量。如果VPN有自己的第一方DNS服务器,你的DNS请求也无法被欺骗或重定向。
通过其服务器或连接协议中的漏洞,VPN仍然可能被黑客攻击。它不是完全在线安全的万无一失的工具,但它仍然是任何注重安全的用户工具包中必不可少的一部分。
2. 改变你的浏览行为
虽然公共WiFi比以前更安全,但你不能完全消除风险。路由器可能会被远程攻击,热点可能会被黑客在繁忙的地方设置来收集信息。
因此,当你使用不熟悉的网络时,特别是如果你没有使用VPN服务时,仍然需要注意你的在线行为。一旦你的个人信息被暴露,想要将其从网络上删除是非常困难的。
以下是在公共WiFi上不应做的事情:
- 使用不可信的WiFi网络。知名酒店和咖啡馆提供的WiFi比随机热点更安全,但仍然存在安全风险。很容易看出咖啡馆或酒店如何以及为什么支付他们提供的WiFi,但任何提供完全免费WiFi服务的人可能通过利用你的数据来赚钱。
- 使用不安全的WiFi网络。你会知道一个网络是不安全的,如果它不需要密码就能加入。大多数合法的免费WiFi热点都是密码保护和加密的,以保护你的数据。
- 安装软件或证书以访问热点。使用免费WiFi网络不应该需要安装任何额外的软件。如果一个网络要求你这么做,这是一个可能存在可疑活动的红旗。
- 使用含有敏感数据的服务。如果你必须使用公共WiFi,避免使用可能危及你的个人信息的服务,如银行或购物。避免提交你的个人详细信息,因为你有暴露你的账户详细信息给第三方的风险。
以下是一些你可以遵循的额
外提示,以减少你的风险:
- 在可能的情况下,使用你已经订阅的网络服务。一些家庭宽带提供商在公共场所提供WiFi热点,这些热点通常更值得信赖。
- 在餐馆或酒店询问工作人员正确的WiFi名称。如果附近有多个名称相似的网络,这一点尤为重要。记住,假热点可以使用与真实热点相同的名称。黑客可能会通过拒绝服务攻击迫使真实热点离线,从而驱使用户转向他们的替代品。
- 使用你的手机数据比公共WiFi更安全。你可以使用手机设置一个移动热点,这样你就可以通过WiFi连接你的电脑。
- 查找HTTPS。检查地址栏中的锁形图标,并确保网站地址正确。
- 在完成后退出你使用的任何服务,以便你的会话cookie过期。如果你发现自己在一个非HTTPS网站上,也立即退出。
3. 更改你的设备设置
你可以对设备进行一些简单的调整,使它们更不容易受到攻击:
关闭自动WiFi连接
首先要做的是关闭自动WiFi连接。这将屏蔽你的设备连接到随机开放的热点。
专家提示:记得从你的设备中删除公共WiFi网络。保持一个精简的WiFi网络历史记录可以减少你以后连接到假接入点的风险。
在Windows上关闭自动WiFi连接:
- 进入设置菜单。
- 点击网络和网络 > Wi-Fi > 管理已知网络。
- 选择你不想自动连接的任何网络。
- 取消勾选‘在范围内自动连接’选项。
如何在Windows上禁用自动WiFi连接。
在Mac上关闭自动WiFi连接:
- 进入系统偏好设置菜单。
- 选择‘网络’。
- 选择你不想自动连接的任何网络。
- 切换‘询问加入网络’开关,以防止自动连接。
如何在Mac上禁用自动WiFi连接。
在iPhone上关闭自动WiFi连接:
- 进入设置菜单。
- 点击‘WiFi’选项。
- 选择你不想自动连接的任何网络。
- 切换‘自动加入’开关,以防止自动连接。
启用防火墙
防火墙是一个网络安全功能,可以监控流入或流出你网络的流量。它根据一组预定义的安全规则允许或屏蔽流量,并帮助防止未经授权的访问你的设备。
大多数计算机现在默认使用防火墙。如果你不确定你的防火墙是打开还是关闭的,值得检查一下。
专家提示:我们建议安装可信的安全软件。像MalwareBytes这样的产品提供实时病毒和勒索软件保护,以及恶意软件和间谍软件清理工具。
在Windows上启用防火墙:
- 打开开始菜单并进入设置。
- 选择‘隐私和安全’。
- 选择‘Windows安全’然后选择‘防火墙和网络保护’。
- 确保防火墙已开启。
如何在Windows上启用防火墙。
在Mac上启用防火墙:
- 打开系统偏好设置菜单。
- 选择‘安全与隐私’。(This article is created by how and best.com)
- 选择页面顶部的‘防火墙’选项卡。
- 点击左下角的锁图标解锁窗口。
- 点击‘开启防火墙’以启用防火墙。
如何在Mac上启用防火墙。
软件更新
保持你的电脑、笔记本电脑或手机尽可能的更新是很重要的。幸运的是,大多数软件更新是自动启用的。
软件更新通常包含安全补丁。这些补丁将保护你免受黑客可以轻松利用的已知漏洞的侵害。
在公共网络上,可能会触发一个假的软件更新提示。因此,你应该永远不要在公共WiFi上下载软件更新,特别是如果提示框在你使用该热点时弹出。
确保断开连接并在安全和私人的连接上检查更新。
禁用共享
除非你打算使用文件共享、蓝牙和AirDrop,否则最好将它们关闭。一直开启它们是没有必要的,并且增加了恶意软件感染文件进入你系统的风险。
在浏览器中启用HTTPS-Only
现代浏览器包含HTTPS-Only模式,如果你发现自己在未加密的HTTP版本网站上,它会自动将你移至安全的HTTPS版本。
如果你之前使用HTTPS Everywhere浏览器扩展来做这件事,现在你不再需要它。从2023年1月起,它已经被弃用并且大部分功能已经冗余。
在Firefox中启用HTTPS-Only模式:
- 点击菜单按钮并选择设置。
- 选择‘隐私与安全’。
- 向下滚动到‘HTTPS-Only模式’。
- 使用单选按钮启用所有窗口中的HTTPS-Only模式。
在Chrome中启用HTTPS-Only模式:
- 点击菜单按钮并选择设置。
- 选择‘隐私和安全’。
- 选择‘安全’。
- 向下滚动到‘始终使用安全连接’。
- 点击切换按钮将其开启。
在Edge中启用HTTPS-Only模式:
- 在浏览器中访问
edge://flags/#edge-automatic-https
。 - 在‘自动HTTPS’下,选择‘启用’。
- 点击按钮重新启动浏览器。它会保留你的打开标签页。
- 在浏览器中访问
edge://settings/privacy
。 - 向下滚动到‘自动切换到更安全的连接与自动HTTPS’。
- 选择单选按钮‘始终从HTTP切换到HTTPS(连接错误可能更频繁)’。
目前,Edge只提供HTTPS-Only作为开发者功能,因此希望未来它将更容易启用和禁用。
要在Safari中启用HTTPS-Only模式,只需升级你的浏览器到macOS Big Sur和macOS Catalina的Safari 15或更高版本。浏览器会自动启用其HTTPS升级功能。
启用DNS over HTTPS
正如我们已经提到的,在HTTPS连接期间你的DNS请求仍然暴露。DNS over HTTPS(DoH)是一种通过加密你的DNS查询来填补这些裂缝的技术。
然而,它只有在你使用兼容的DNS服务器时才有效,例如Google Public DNS或Cloudflare。
在Firefox中,你可以在浏览器的‘网络’设置中启用DNS over HTTPS。
在Chrome中,DNS over HTTPS被称为Secure DNS,并在:设置 > 隐私与安全 > 安全中启用。
在Edge中,找到该选项:设置 > 隐私、搜索和服务 > 安全 > 使用安全DNS。
4. 启用双因素认证
在你的在线账户上启用双因素认证(2FA)可以大大保护你免受数据盗窃。
启用2FA后,即使黑客设法获取了你的用户名和密码,他们也无法在没有额外验证代码的情况下登录你的账户。
常见问题
我如何确保公共WiFi是安全的?
始终确保你连接到一个合法的、受密码保护的WiFi网络。如果你不知道谁在运营这个网络,不要连接。
确保在公共WiFi上安全的最简单方法是使用VPN,它将加密你设备发出的所有流量。
即使你连接到一个被攻陷的WiFi热点,VPN也会屏蔽热点运营者窥探你的连接或篡改你的网络流量。
公共WiFi可以看到你的浏览历史吗?
如果你没有使用VPN,WiFi所有者可以看到你访问了哪些网站,即使它们使用HTTPS加密。如果网站没有使用HTTPS加密,WiFi运营者还可以看到你访问的每个具体网页。大多数路由器会记录通过它们访问的网站。