保護家中或工作室裡的 WiFi 並不是件很困難的事情,只需要花個一兩分鐘就能做到,但卻是人們往往最容易忽視的一環,你會時時確保手機、電腦的防護與安全,卻忘了讓設備與世界連接的 WiFi 本身安全性也很重要。這次筆者整理出 10 種讓 WiFi 更容易受到攻擊的情況,有時只要一個動作就能讓你上網更安心。
這 10 種情況讓你的 WiFi 更容易受到攻擊
在開始討論家用 WiFi 網路最容易被攻擊的情況之前,我們先來講講網路最容易被攻擊的常見原因:設定和更新軟硬體。這些動作可能在一般用戶眼裡有點麻煩,你可能裝好後開機就開始連接上網,然後數月甚至數年沒有再去理會。如果你已經將 WiFi 安全性遺忘很久,建議你撥出一點時間動動手保護自己。如果要變更本文中特論到的任何設定必須登入到路由器的設定介面進行調整,至於設定介面可以從各路由器品牌官網上的支援文件中找到說明。
情況 1:你的路由器很老舊
沒有人喜歡沒事就花錢,如果你的路由器一直運作得很正常,對於大多數人來說都會是最低消費順位。但是,僅僅因為路由器可以正常開機運作(而且無論多慢好歹都能連接網路)並不代表你就應該安心用到它壽終正寢。事實上,也許是時候換掉你的舊路由器了。
老舊的路由器不僅速度慢、用戶體驗差,而且越老舊就代表越可能早已不再獲得韌體更新。沒有韌體更新也表示沒有辦法獲取安全性更新與修復。當發現就硬體的新漏洞但品牌已不提供更新的情況下,你就只能坐以待斃。
情況 2:你從來不更新路由器韌體
對於新漏洞的防堵修補、新功能或效能改進,各品牌會以韌體更新的方式推送到用戶手上。說到韌體更新,如果你沒有將路由器設定為自動更新,或是你從來不檢查是否有更新並手動安裝,那麼你等於放棄了效能改進和安全性。掌握更新是提升 WiFi 路由器安全性最基礎的一環,你可以從中獲得最多好處。你的路由器不僅會針對新發現的安全漏洞加以修復,還可能包含對網路訊號最佳化的調整和各種讓路由器運行更好的改進。
情況 3:你正在使用弱密碼,或根本沒有設定密碼
輸入 WiFi 很麻煩,特別是如果你正在手機這種小螢幕上輸入,或是在網路印表機之類設備上的小液晶以單一按鍵操作時更痛苦,就算是這麼惱人的輸入方式都不該是你繼續使用弱密碼的理由。你不需要大費周章設計一個冗長又太過複雜的 WiFi 密碼,但絕對沒有理由繼續使用像是「Password」、「123456」或是「qwerty」這類弱密碼。有些人完全走「社區公益」路線,壓根兒就不設定密碼,就像是你家門沒鎖歡迎大家自行進出,不僅僅是鄰居會開心地使用,更有可能讓有心人士用你提供的免費 WiFi 幹些不太合法的事情或是大量下載強佔你的頻寬。
情況 4:正在使用過時的安全標準
使用弱密碼就能於在 WiFi 路由器上套用過時的安全標準。像 WEP 這樣的早期 WiFi 加密協定只要經過反覆運算幾乎都能立刻被破解。WPA 和 WPA2 其實也算是過時了,儘管 WPA2 比 WEP 好很多,但目前最新的網路安全標準是 WPA3。現在的聯網設備雖然還沒有完全普遍使用最新的 WPA3 標準,在採購新路由器時選擇不僅支援 WPA3,還支援過渡的 WPA2/WPA3 模式的機種,這樣一來即使是不支援 WPA3 的舊設備也能順利連上 WiFi 網路,當你最終淘汰這些使用過渡模式的舊設備後即可切換到純 WPA3 模式了。
情況 5:你沒有變更預設的管理帳號密碼
當你買入一部新路由器之後,預設管理員帳戶跟密碼都是非常常見的組合,從歷史(?)上來看,大多數消費者從購買後就根本沒有去變更過它,也就是說任何知道特定路由器型號預設管理員登入帳號密碼的人都可以造訪變更設定等。雖然部分路由器製造商現在採用印在路由器標籤上的偽隨機密碼來替代,但這種情況還是非常罕見,所以市面上數百萬部路由器依然還在使用「admin / admin」這樣的帳密組合,既然你知道、我知道、全世界都知道,那你還不變更的話就等於把家門鑰匙廣發給大家。
情況 6:你使用的是「偽」隨機 WiFi 密碼
說到偽隨機,儘管品牌沒有做太多其他流程來提供隨機管理員密碼,但有些路由器在機身標籤上都會印有「偽隨機」WiFi 預設密碼。問題是,這些預先產生的 WiFi 密碼並不像看起來那樣隨機,它們通常很短,所以你最好將他們變更成更強且具備唯一性的專用密碼。
情況 7:你沒有禁用不安全的協定和服務
你的路由器中除了提供 WiFi 無線網路之外,還包含許多用來使路由器和設備更容易使用的功能,但是伴隨易用性而來的就是各種權衡。消費型路由器上有兩個典型的範例功能你應該立刻關閉,一個是允許一鍵將設備連接到路由器的 WPS(有已知漏洞),另一種則是讓網路上的設備輕鬆找到彼此並連接的 UPnP 協定。這兩項功能的確都能做到它們標榜的事情,但同時也被把你暴露在已知的漏洞當中。
情況 8:你開啟了遠端存取
當你在家,你可以用本地位址登入路由器的控制面板,當你出門在外,除非打開了遠端存取的權限,否則你無法登入。絕大多數人外出度假時並不需要對路由器進行重大變更,除非你有極度迫切需要遠端管理家中的網了,否則應該關閉端存取。既然不需要爬窗,那就不用開窗了。
情況 9:你沒有設定訪客用網路
在很久前,訪客用網路在消費型路由器上是非常少見的功能,所以來訪的客人都是登入你的主要 WiFi。但時至今日,即便是平價款的路由器也內建有訪客網路功能。在 WiFi 路由器裡設定訪客用網路有很多好處,例如將訪客與它們不需要訪問的網路區域分隔開(例如存放大量個人照片檔案的 NAS 等),而且你還可以在不中斷家庭使用的情況下輕鬆變更訪客網路密碼。
情況 10:將 IoT 設備全都連在主要網路上
上面我們提到的訪客網路不僅很適合來訪的客人,同時也非常適合用來給 IoT 裝置連接,以便這些聯網設備依然可以連接網路並獲取任何基於雲端的功能,但卻又能很好地與本地的其他網路設備區隔來開,如 NAS 或個人電腦。IoT 設計和安全實踐可能不是大家會考慮太多的事,但是如果你擔心 IoT 產品可能帶來的安全問題,那麼將它們放在訪客網路上是絕對值得的操作。