?公共場所提供 WIFI 密碼涉嫌違反《網(wǎng)絡(luò)安全法》，你會連公共場所的 WIFI 嗎？

琴梨梨OvO

已是蘇堤春曉 多怕你看不到 筆墨沾雨 折一枝 桃花隨信送到

123 人贊同了該回答

然而使用WPA/WPA2/WPA3密碼加密的wifi相對于開放wifi要安全得多

開放網(wǎng)絡(luò)的安全性是最差的，因?yàn)閿?shù)據(jù)幀完全無加密，即使使用了網(wǎng)頁驗(yàn)證，數(shù)據(jù)幀還是裸奔著飛來飛去，腳本小子都能將其捕獲甚至篡改，進(jìn)行中間人攻擊

所以為了解決這個問題，WEP出現(xiàn)了，WEP對于整個網(wǎng)絡(luò)使用一樣的密鑰，加密了數(shù)據(jù)幀，解決了街邊腳本小子的問題。但因?yàn)檎麄€網(wǎng)絡(luò)使用一樣的密鑰，如果一個腳本小子正好知道密碼連上了，整個網(wǎng)絡(luò)又裸奔了

直到WPA的出現(xiàn)，這個問題才被真正解決，WPA為每個數(shù)據(jù)包創(chuàng)建獨(dú)立密鑰，并進(jìn)行完整性檢查，這個巨大的創(chuàng)新徹底攔住了腳本小子，腳本小子再也沒法通過簡單的嗅探數(shù)據(jù)包進(jìn)行中間人攻擊了

后來WPA2和WPA3又陸續(xù)改進(jìn)了密鑰算法和完整性檢查算法，進(jìn)一步解決了算法上的漏洞，安全性就更高了

因此我們不難得出：使用WPA系列加密的wifi是相對安全的

但注意我說的是相對安全，不是絕對安全

為什么不是絕對安全？因?yàn)閃PA解決的是wifi鏈路的安全性，沒有解決本身局域網(wǎng)的安全問題

局域網(wǎng)的安全問題在于，同一局域網(wǎng)內(nèi)的設(shè)備之間可以互相訪問，這是大多數(shù)路由器的默認(rèn)行為

因此局域網(wǎng)中的設(shè)備有能力對同一局域網(wǎng)的設(shè)備發(fā)起攻擊，這對于設(shè)備來源不可信的情況下來說是相當(dāng)危險的，比如一個感染了wannacry的電腦連接了擁有數(shù)十臺無補(bǔ)丁電腦的局域網(wǎng)

解決辦法是什么呢？很簡單，局域網(wǎng)隔離，禁止同一局域網(wǎng)設(shè)備之間互相訪問，問題就解決了

那么怎么辨別接入者的身份呢？顯然大家都簡單的使用同一密碼無法區(qū)別身份

WPA制定的時候是考慮到了的。我們平常家用的叫做WPA-Personal，只有密碼驗(yàn)證，但實(shí)際上還有一個WPA-Enterprise，會要求用戶名+密碼驗(yàn)證，并且提供更復(fù)雜的配置參數(shù)

我目前的學(xué)校和之前的學(xué)校均使用WPA-Enterprise加密，可以有效鑒別連接者身份，而且不需要網(wǎng)頁認(rèn)證（因此充分實(shí)施該特性的無瀏覽器IoT設(shè)備也可以連接），澳洲最大的超市之一Woolworths也使用這種加密安全的提供公共wifi

https://my.uq.edu.au/information-and-services/information-technology/internet-and-wifi/connecting-wifi

那么有沒有辦法實(shí)現(xiàn)不把實(shí)名信息提供給店家的情況下就對網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)名驗(yàn)證呢？也是有辦法的，我在此提出一種解決辦法

可以推行個人專用的數(shù)字證書，每個人都可以申領(lǐng)只屬于自己的數(shù)字證書，WPA-Enterprise是支持證書加密的，連接時選擇自己的證書，即可安全的進(jìn)行實(shí)名驗(yàn)證，因?yàn)閿?shù)據(jù)通過本地的證書私鑰加密，驗(yàn)證端只能通過公鑰驗(yàn)證合法性，卻不能獲取私鑰來偽造新的加密信息，這種非對稱加密實(shí)現(xiàn)了店家知道你是誰卻無法偽裝為你的身份

而且可以很輕松的做成多個地方使用同一信息驗(yàn)證，比如eduroam那樣全球漫游驗(yàn)證，用戶體驗(yàn)極佳

如果個人數(shù)字證書不幸泄漏，也只需要撤銷舊的證書并領(lǐng)取新的證書即可解決。證書與個人綁定而不與設(shè)備綁定，因此不需要手機(jī)號，不需要特定設(shè)備，有證書就能驗(yàn)證

簡單總結(jié)如何構(gòu)建一個實(shí)名認(rèn)證的安全網(wǎng)絡(luò)：基于個人專用數(shù)字證書的WPA-Enterprise加密

編輯于 2023-09-06 06:42

贊同 123收起評論

分享

收藏喜歡

收起

發(fā)布一條帶圖評論吧

34 條評論

默認(rèn)

最新

圖吧垃圾王

老哥能不能講講WAPI

剛剛?·?IP 屬地遼寧

回復(fù)喜歡

吉浩然

是對他們來說不安全，我們安不安全他們不關(guān)心

10 小時前?·?IP 屬地上海

回復(fù)20

王麻子

人家要的安全是能順藤摸瓜抓到你小子，你的數(shù)據(jù)安全不安全管它鳥事啊！

7 小時前?·?IP 屬地四川

回復(fù)18

Henry Pei

首先你得會在設(shè)備上安裝證書，其次你還得保證證書不會泄露。這兩點(diǎn)能篩掉90%的用戶。更不用說要在后端搭建認(rèn)證平臺，跟每個店家對接這種現(xiàn)實(shí)上不具備可行性的操作了。

10 小時前?·?IP 屬地廣東

回復(fù)11

琴梨梨OvO

作者

安裝證書這個過程可以通過自動的app實(shí)現(xiàn)，app內(nèi)完成一次身份驗(yàn)證即可安裝證書到當(dāng)前設(shè)備，不支持的平臺再交給用戶自己手動安裝證書。證書泄露也只需要重新頒發(fā)新的即可。店家對接也沒什么難度，驗(yàn)證可以開源，因?yàn)轵?yàn)證只驗(yàn)證公鑰，開源沒有安全風(fēng)險

9 小時前?·?IP 屬地澳大利亞

回復(fù)3

琴梨梨OvO

作者

Henry Pei

如果證書有效期足夠短，那么泄露的風(fēng)險也可以降低，就好像https證書現(xiàn)在縮短到1年有效一樣，個人數(shù)字證書我認(rèn)為半年有效期就夠

9 小時前?·?IP 屬地澳大利亞

回復(fù)2

查看全部 6 條回復(fù)

大老鼠

顯然新聞中的安全和你說的安全完全是兩個概念

7 小時前?·?IP 屬地上海

回復(fù)4

木村·星辰

網(wǎng)頁認(rèn)證就是WPA-Enterprise，網(wǎng)頁認(rèn)證的過程實(shí)際就是證書發(fā)行

7 小時前?·?IP 屬地江蘇

回復(fù)2

Cmark-超馬克

然后想提供wifi熱點(diǎn)需要采購指定路由器是吧，一臺20萬，每年收5萬認(rèn)證服務(wù)費(fèi)

7 小時前?·?IP 屬地美國

回復(fù)2

琴梨梨OvO

作者

不用，wpa-enterprise時公開標(biāo)準(zhǔn)

7 小時前?·?IP 屬地澳大利亞

回復(fù)喜歡

琴梨梨OvO

作者

Unfreeman

改不了，因?yàn)閣pa是全球標(biāo)準(zhǔn)，又不禁止進(jìn)口電子產(chǎn)品

6 小時前?·?IP 屬地澳大利亞

回復(fù)喜歡

展開其他 1 條回復(fù)

snowk

我真的想吐槽，但是槽點(diǎn)太多，我一個一個說吧，現(xiàn)在啟用tls的網(wǎng)站加密完全能避免中間人，除非你操作手機(jī)安裝非法證書，軟件是無權(quán)安裝證書的。這是安卓的情況，不清楚蘋果。而且，即使安裝了非法證書，在安卓7.0之后版本，這個證書也只有部分瀏覽器承認(rèn)合法性，軟件應(yīng)用是不承認(rèn)合法的。你要說pc端，我承認(rèn)確實(shí)好安證書，但是又有誰能用筆記本連公共wifi同時還安裝證書

7 小時前?·?IP 屬地黑龍江

回復(fù)1

琴梨梨OvO

作者

snowk

安裝證書來解決公共wifi身份驗(yàn)證在澳洲已經(jīng)有不少案例，我自己就在用，當(dāng)然需要用戶同意，但只需要一次授權(quán)就可以用到證書過期為止

7 小時前?·?IP 屬地澳大利亞

回復(fù)1

琴梨梨OvO

作者

軟件是可以在用戶允許的情況下安裝wifi專用的證書的,securew2就是一個例子

7 小時前?·?IP 屬地澳大利亞

回復(fù)喜歡

查看全部 6 條回復(fù)

拖延癥患者

好家伙 遙遙領(lǐng)先

4 小時前?·?IP 屬地遼寧

回復(fù)喜歡

張三

事實(shí)上，eduroam這玩意，大部分人都要看教程完成第一次設(shè)置

4 小時前?·?IP 屬地廣東

回復(fù)喜歡

拖延癥患者

琴梨梨OvO

確實(shí)只需要一次，那生意可就來了

4 小時前?·?IP 屬地遼寧

回復(fù)喜歡

琴梨梨OvO

作者

但也只需要一次

4 小時前?·?IP 屬地澳大利亞

回復(fù)喜歡

古韻香沉

1不要提供免費(fèi)wifi。
2.非要提供的話，那就只能碰運(yùn)氣會不會遇到選擇執(zhí)法了，反正底層涉及違法的地方多著呢。
至于你的方案，你以為別人是為了解決問題的嗎。

5 小時前?·?IP 屬地江蘇

回復(fù)喜歡

形勢逼人又喜人

想了想，還是點(diǎn)了反對。ssl普及的今天，真的很難想象鏈路層加不加密有什么問題

7 小時前?·?IP 屬地上海

回復(fù)喜歡

琴梨梨OvO

作者

tls到現(xiàn)在sni還是明文呢，什么時候ech正式投入使用了再考慮鏈路層不加密

7 小時前?·?IP 屬地澳大利亞

回復(fù)3

PF89QAQ

不開wpa，隨便找個人呆你家門口，最起碼也能抓到你訪問的網(wǎng)站，局域網(wǎng)沒配置ssl的密碼，dns數(shù)據(jù)，設(shè)備活動記錄

3 小時前?·?IP 屬地加拿大

回復(fù)喜歡

評論區(qū)整活

個人家用也盡量設(shè)置成WPA2/3加密對吧？

7 小時前?·?IP 屬地上海

回復(fù)喜歡

琴梨梨OvO

作者

是

7 小時前?·?IP 屬地澳大利亞

回復(fù)喜歡

瘋瘋

自作多情了

8 小時前?·?IP 屬地山西