在香港使用公共WiFi的10項安全習慣
大多數公共WiFi風險都是可以預防的。持續應用這十項習慣,可保護您免受竊聽、中間人攻擊及惡意孿生網絡的侵害——無論您是在使用地鐵WiFi、酒店網絡、咖啡廳還是機場的網絡。
大多數公共WiFi風險都是可以預防的。持續應用這十項習慣,可保護您免受竊聽、中間人攻擊及惡意孿生網絡的侵害——無論您是在使用地鐵WiFi、酒店網絡、咖啡廳還是機場的網絡。
習慣一:連接前向場所員工確認網絡名稱。連接任何公共WiFi之前,最有效的單一步驟是向員工確認正確的SSID。詢問咖啡師、酒店前台或機場問詢處員工:「WiFi網絡的確切名稱是什麼?」不要假設信號最強或名稱看起來最熟悉的就是合法網絡。惡意孿生網絡之所以能夠成功,恰恰是因為它們複製了合法的SSID——詢問員工增加了任何技術工具都無法替代的驗證環節。記下或截圖已確認的SSID,以便核對您實際連接的網絡與被告知的名稱是否一致。
習慣二:為所有公共網絡禁用WiFi自動連接。自動連接功能會讓您的設備成為被動目標。當您的手機或筆記本電腦被配置為自動加入任何之前連接過的網絡時,它將重新連接到任何廣播熟悉SSID的接入點——包括惡意孿生網絡。逐一查看您的已保存WiFi網絡,為每個公共網絡禁用自動加入:WiFi.HK、過去入住的酒店網絡、機場網絡、購物中心網絡及連鎖咖啡廳。在iPhone上,點擊每個已保存網絡旁的「i」並關閉「自動加入」。在Android上,長按不再定期需要的公共網絡名稱並選擇「忘記」。在Windows上,進入網絡和Internet設定,將WiFi適配器設置為不自動連接。
習慣三:連接後在打開任何應用程序前啟用VPN。順序很重要:加入網絡,如有需要完成強制門戶登入,然後在打開電郵、瀏覽器或任何其他應用程序之前立即啟動VPN。許多VPN應用支持自動連接功能,在您加入公共網絡時自動啟動VPN——啟用此功能消除了需要記住手動啟動VPN的依賴。VPN啟用後,您設備發出的所有流量在到達WiFi網絡之前均已加密,使竊聽和中間人攻擊無論底層網絡多麼不安全都無法生效。
習慣四:在您使用的每個網站上確認HTTPS。HTTPS加密您的網頁會話內容,使其在開放WiFi網絡上對網絡竊聽者不可讀。在輸入任何憑證或個人信息之前,檢查每個URL開頭的地址欄中的鎖頭圖標和「https://」。這在公共WiFi上尤為重要,因為SSL降級攻擊可以在某些瀏覽器上無明顯警告的情況下將HTTPS降級為HTTP。如果您通常以HTTPS訪問的網站出現時沒有鎖頭圖標,或顯示SSL證書警告,請立即斷開連接並切換至流動數據。安裝HTTPS Everywhere等瀏覽器擴展(適用於Chrome和Firefox)可在任何可用的情況下強制使用HTTPS連接。
習慣五:未使用VPN時切勿提交敏感信息。即使在受HTTPS保護的網站上,解析域名的DNS查詢也可能是未加密的,對網絡監控者可見,從而暴露您訪問了哪些網站。表單提交、登入憑證及個人數據只應在流量完全受保護時傳輸——即VPN已啟用的情況下。避免在沒有VPN的公共WiFi上登入銀行應用程序、訪問工作電郵、提交醫療信息或進行購物。若必須在沒有VPN的情況下訪問這些服務,請切換至流動數據連接。香港每月50GB或以上的流動數據計劃使這在地鐵和城區任何手機網絡覆蓋可靠的地方都成為實際可行的選擇。
習慣六:高敏感度工作使用手機移動熱點。當您需要訪問真正敏感的信息——公司系統、金融帳戶、醫療記錄、法律文件——您手機的移動熱點在安全性上從根本上優於任何公共WiFi網絡。流動數據連接在網絡層進行加密,不與同一地點的其他用戶共享,且不受影響WiFi的惡意孿生攻擊、ARP欺騙或中間人攻擊影響。在酒店、機場及任何您對WiFi安全不確定的地方,將筆記本電腦通過手機熱點連接進行敏感工作。短暫工作會話的電池及數據消耗是適度的。
習慣七:將設備設置為公共網絡模式並禁用共享。操作系統根據網絡是否被分類為「家庭」、「工作/私人」或「公共」而對網絡連接進行不同處理。在Windows中,連接到新網絡時若有提示,選擇「公用」——這會禁用網絡發現(向同一網絡上的其他用戶隱藏您的設備)並禁用文件和打印機共享。若您之前將公共網絡設置為「私人」,請更改:前往設定 → 網絡和Internet → WiFi → 選擇該網絡 → 設置為「公用」。在macOS上,每次連接公共WiFi時,在系統設定 → 一般 → 共享中禁用「文件共享」和「螢幕共享」。這些設置可防止同一網絡上的其他用戶看到或連接到您設備上的服務。
習慣八:連接前啟用並確認設備防火牆。軟件防火牆為防止同一網絡上的其他設備嘗試連接到您的筆記本電腦提供第二層保護。Windows Defender防火牆默認啟用,但應予以確認:在開始菜單中搜索「Windows Defender防火牆」,確認顯示「Windows Defender防火牆已開啟」。在macOS上,前往系統設定 → 網絡 → 防火牆,確保其已開啟。在macOS上啟用「隱形模式」(在防火牆選項下),防止設備響應網絡探測。在兩個平台上,查看允許通過防火牆的應用程序,並移除任何您不認識的應用程序。配置良好的防火牆可阻止未經請求的入站連接,這在客戶端隔離可能未正確配置的酒店網絡上尤為重要。
在連接公共WiFi之前,設備衛生同樣重要。在公共網絡上出行或通勤之前,確保您的操作系統和應用程序已完全更新。公共WiFi上的許多攻擊都利用了過時軟件中的已知漏洞,攻擊者可通過網絡掃描識別這些漏洞。卸載您不使用的應用程序——應用程序越少,潛在的漏洞向量就越少。若您是Windows用戶,確保Windows Update設置為自動安裝安全更新。macOS用戶應在系統設定 → 一般 → 軟件更新中啟用自動安全更新。無論是公共還是私有網絡,更新的軟件都能減少您的設備所呈現的攻擊面。
習慣九:了解主動攻擊的警告跡象。即使已採取預防措施,知道如何識別正在進行中的攻擊也能讓您迅速響應。警告跡象包括:在您之前連接時不需要門戶的網絡上出現意外的強制門戶登入請求;您通常使用時不出現任何警告的網站上出現SSL證書錯誤;網站以HTTP加載,而它們應始終顯示HTTPS;設備頻繁斷開並重新連接(合法接入點與惡意孿生網絡之間信號競爭的跡象);瀏覽器行為異常,例如重定向至意外頁面或內容看起來與正常情況略有不同。在高風險地點(機場、酒店、繁忙車站)出現這些跡象的任何組合,均應立即斷開連接。
習慣十:定期審查您的公共WiFi使用習慣。安全習慣在沒有刻意維護的情況下會隨時間退步。每月一次,查看所有設備——手機、筆記本電腦、平板電腦——上的已保存WiFi網絡,並刪除任何不再需要的公共網絡。每次出行(國內或國際)後,逐一查看來自酒店和機場的已保存網絡並將其刪除。定期檢查VPN的自動連接功能是否仍已啟用並正常運作(VPN應用更新有時可能重置設定)。查看手機上哪些應用程序有權限在後台訪問WiFi,因為部分應用程序可能在您未明確操作的情況下傳輸數據。養成每月「WiFi審查」習慣只需五分鐘,可確保您的設定反映當前的安全意圖,而非多年出行積累的默認配置。
將這些習慣融入日常生活需要初始努力,但隨時間推移會變得自動化。對大多數香港用戶而言,影響最大的組合是:刪除所有已保存的公共網絡,將保留的網絡設置為不自動加入,安裝啟用自動連接的VPN應用程序,並使用流動數據處理銀行業務和工作電郵。這四步設置所需時間不超過十五分鐘,便能在不顯著影響日常連接的情況下,抵禦大多數公共WiFi威脅。將這些習慣與家庭成員分享,尤其是年長親屬或使用公共WiFi但可能不了解風險的兒童——家庭數字安全中最薄弱的環節,往往是同一網絡或帳戶上信息最匱乏的用戶。
