游泳

商业wifi运营隐患密码明文传输路由器成

2019-08-15 18:22:45来源:励志吧0次阅读

  有游客入住酒店随机登录了一个不需密码的免费Wi-Fi,当即中毒,400多元话费10分钟内不翼而飞;一位市民在当地使用公共场所Wi-Fi,家中的电脑随即被入侵,银内的6万多元两天内被69次盗刷,而所谓保障安全的U盾、银行卡,账户绑定的短信、密码都在,账户内的钱却不见了??

  据一份非官方的Wi-Fi信息安全报告显示,过去一年,全国范围内的无线络遭到攻击的次数正呈几何级增长,而让人更为担忧的是,依然有很大部分用户并没有意识到Wi-Fi可能带来的安全风险。

  监管部门:十年只有入门级规范

  很难说在国内,哪种类型的免费Wi-Fi会更安全。 据了解,目前,市场上可连接的Wi-Fi大体可分为由不同提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi运营商提供的Wi-Fi平台,以及各类虚假免费Wi-Fi。如此之多的种类,如何界定安全与否?很可惜,到目前为止,无论是官方还是非官方,都无法给出一个切实有效的方案。

  到目前为止,行业内唯一可遵循的规则是自2006年 月1日起施行,2005年11月2 日由公安部部长办公会议通过的《安全保护技术措施规定》,这部在业内被称为 第82号令 从10年前颁布一直延用至今。而这部法令的根本要求是用户可溯源。

  一般情况,我们对正规Wi-Fi渠道最简单的鉴定就是看其是否需要用户输入账户和密码,是否需要进行认证登录,关键的动作是用户输入动态的短信验证码,这就是认证的过程。 一位业内人士透露,验证机制是目前国家安全部门对Wi-Fi安全的主要要求。当用户输入验证码之后,Wi-Fi提供商的后台即生成相应的认证号、留下了用户资料,完成对用户进行识别。

  这套机制对Wi-Fi登录前的安全保障负责, 动态密码作为接入校验,多了一个认证因子,对判断虚假Wi-Fi和运营商防止黑客破解Wi-Fi接入是有意义的。 在安全独立研究员营智敏看来,到目前为止,虚假Wi-Fi的制作者是无法提供这样一个校验码的, 最起码他们买不了和运营商一致的短信接口,也就无法形成相似的联动机制,另一方面,他们也无法攻击页登录界面去获得动态密码,因此,在这条界限内,攻击者被暂时拦在了门外。 不过他也提出,这是在排除了没有 伪基站 的前提下,成立的安全防控。

  犯罪分子的手段在不断升级,而防御管理者却始终在入门级的安全水平徘徊。 Wi-Fi安全分为没有链接之前的诱骗、诱导攻击和链接之后的中间人攻击。 在业内人士看来,Wi-Fi犯罪成本低,犯罪技术手段正在不断成熟,对于地下黑客而言,早就形成了一条庞大的利益链条。而最初的入门防御,其实很难阻挡他们犯罪的脚步。

  林先生在Wi-Fi行业工作多年,他告诉笔者,目前的这套验证机制就好比是在一幢大楼的门口装了一个摄像头,能记录下每一个进出的人,但是进去之后这些人做了什么,就无从追踪了。而验证码就好比这个摄像头,无法记录登录Wi-Fi后,人们都干了什么的。因此如何防御进入内的攻击,目前,官方的法律规范几乎是空白。

  缺乏了有关规范条例的约束,业内各方只能 跟着感觉 来把控安全。

2007年绍兴旅游C轮企业
2011年家居C轮企业
早讯戴姆勒拟投100亿欧元开发电动汽车;功夫国际孵化器启动
分享到: