流動熱點與公共WiFi:在香港哪個更安全?
你手機的流動熱點在處理敏感任務時,在安全性上明顯優於公共WiFi。但了解何時切換、熱點安全實際提供甚麼保護,以及如何適當使用兩者,才是良好安全習慣與不必要謹慎之間的分界線。
你手機的流動熱點在處理敏感任務時,在安全性上明顯優於公共WiFi。但了解何時切換、熱點安全實際提供甚麼保護,以及如何適當使用兩者,才是良好安全習慣與不必要謹慎之間的分界線。
流動熱點使用你手機的4G或5G流動連接,為其他設備提供互聯網接入。流動熱點與公共WiFi之間的根本安全差異在於誰控制網絡以及誰可以存取它。你的個人熱點以WPA2或WPA3加密進行密碼保護——只有知道你熱點密碼的設備才能連接。在公共WiFi網絡上,身處該實體位置的任何人都可以連接到與你相同的網絡。這意味著針對同一WiFi網絡上其他用戶的ARP欺騙、中間人攻擊和點對點網絡攻擊,對你的流動熱點是不可能的:你的熱點網絡上沒有其他未知用戶可以攻擊你。
流動數據也在流動網絡層面進行加密。你的手機與流動網絡商基站之間的連接使用強加密(4G透過LTE協議使用AES-128;5G使用更強的加密)。這種網絡層加密可防止對流動連接本身的無線電層竊聽攻擊。相比之下,開放的公共WiFi網絡完全沒有網絡層加密:攜帶你數據的無線電訊號在空中以未加密狀態傳輸,範圍內任何擁有WiFi適配器和封包擷取軟件的設備均可擷取。無論你是否使用HTTPS或VPN,流動加密都存在——這是公共WiFi根本無法提供的基礎保護。
惡意孿生攻擊是公共WiFi上最危險的威脅之一,對流動熱點而言是不可能的。惡意孿生攻擊需要創建與合法網絡相同SSID的偽造接入點——攻擊者在不知道你密碼的情況下無法複製你的個人熱點SSID和WPA2密碼。即使他們知道SSID,WPA2握手也需要正確密碼才能建立連接。在沒有密碼的公共WiFi(如WiFi.HK等開放網絡)上,任何設備都可以廣播相同的SSID,並從已儲存該SSID的設備收集自動連接。你的個人熱點在設計上對此類攻擊免疫。
香港的流動數據計劃是全球最慷慨的之一,使個人熱點使用對大多數用戶而言切實可行。主要網絡商——中國移動香港、數碼通、3HK和HKT——均以合理價格提供每月50GB或以上的計劃,許多計劃提供達到上限後降速的無限數據計劃。對於典型的商業和個人使用,將電腦的互聯網流量路由通過流動熱點所消耗的額外數據,在慷慨的數據計劃內是可管理的。電郵、網頁瀏覽和文件工作通常每天使用1至3GB。視頻會議(Zoom、Teams、Google Meet)以標準畫質每小時約使用1GB。大型文件下載是主要考量,但可推遲至在安全網絡上進行。
4G和5G覆蓋範圍遍及香港城市地區和港鐵網絡。中國移動香港、數碼通和3HK均在港鐵月台和列車上(包括地底車站)、大多數商業大廈、購物中心,以及九龍和香港島城區提供強勁訊號。新界在農村地區的覆蓋較為零散,但新界的城市中心(沙田、荃灣、屯門、元朗)覆蓋良好。對於大多數專業使用場景——在咖啡廳工作、在途中工作、在酒店房間工作——透過熱點使用流動數據可提供足夠的生產力速度。5G在可用的地方可提供媲美甚至超越大多數公共WiFi網絡的速度。
設置熱點只需幾秒鐘。在iPhone上:設定 → 個人熱點 → 允許其他人加入(開啟切換)。你將看到熱點名稱(你的設備名稱)和WiFi密碼。你可以將密碼更改為更易記和輸入的內容。在Android上:設定 → 網絡與互聯網 → 熱點與共享 → WiFi熱點(開啟切換)。在公共場所,將熱點重命名為不會識別你個人身份的名稱——使用你的全名作為熱點SSID會在任何WiFi掃描中廣播你的身份。設置一個強密碼(12個字符以上),只與你打算連接的設備共享。不使用時記得關閉熱點,以防止電池消耗,並避免無意中共享你的連接。
流動熱點與公共WiFi之間的選擇應基於你所做事情的敏感程度,而非對所有公共WiFi的反射性回避。啟用VPN的公共WiFi可為低至中等敏感度的任務提供足夠的安全性:閱讀新聞、串流媒體、瀏覽社交媒體和休閒網頁瀏覽。VPN確保你的流量已加密,這些活動的風險狀況較低——沒有提交憑證,沒有傳輸敏感數據,即使元數據被觀察到後果也微乎其微。為這些活動切換至流動數據提供的安全效益微乎其微,並且不必要地消耗你的數據配額。
以下情況切換至你的流動熱點(或手機的直接流動連接):銀行及金融服務、公司電郵及業務系統、透過瀏覽器存取的工作文件和雲端儲存、涉及機密商業資訊的視頻通話、醫療或法律服務存取、登入任何高價值憑證帳戶,以及任何你不希望流量被觀察的活動。經驗法則是:如果你不希望你的僱主、財務調查員或陌生人知道你在網上做甚麼,就使用流動數據。為這些活動切換至流動數據的摩擦力很低——只需幾秒鐘——而安全效益是顯著的。
對於在香港酒店的商務旅客,強烈建議使用流動熱點。酒店WiFi將高價值目標集中在已知地點,在客戶隔離方面往往配置欠佳,並且曾是專門針對商務旅客的複雜國家級攻擊(DarkHotel)的目標。酒店網絡的較高風險狀況使得在酒店住宿期間為所有工作相關任務使用流動數據的輕微不便是合理的。在香港國際機場,由於SSID已知及國際旅客集中,Airport_Free_WiFi網絡是一個有據可查的惡意孿生目標——建議在航班前後的任何敏感活動均使用手機的4G連接。
你個人熱點的安全性取決於其密碼強度和協議。iOS和Android均默認使用WPA2加密和自動生成的密碼——這在默認情況下是安全的,但自動生成的密碼可能難以輸入,你可能會被誘惑將其簡化。如果你更改密碼,請使用最少12個字符,包括大寫、小寫、數字和符號。弱熱點密碼可能被有決心的攻擊者暴力破解,而你的熱點SSID對附近掃描WiFi網絡的任何人可見。使用不含識別資訊的SSID(而非你的姓名或手機型號)以減少針對性關注。在iOS 16及更新版本上,若你的手機和連接設備均支持WPA3,你可以在個人熱點設定中設置熱點使用WPA3。
電池消耗是使用流動熱點的主要實際限制。熱點模式同時啟用流動無線電(持續傳輸數據)和WiFi無線電(廣播熱點訊號),這兩者合計消耗的電池顯著多於正常手機使用。對於進行活躍網頁瀏覽和偶爾視頻通話的電腦,根據網絡條件和手機型號,每小時熱點使用可預期消耗20至30%的電池。對於長時間的酒店住宿或長時間的機場會話,請考慮攜帶小型便攜充電寶(容量10,000至20,000mAh),以在充當熱點時為手機保持充電。另外,部分香港酒店房間提供有線網絡連接——有線連接到酒店網絡通常比酒店WiFi更安全,但仍需使用VPN。
流動熱點不提供匿名性,也不能保護你免受網絡商的監視。你的網絡商可以看到流經你流動數據連接的所有流量,可以記錄連接元數據,並在適當請求下依法向執法部門提供此數據。對普通用戶而言,網絡商層面的可見性不是問題——你的網絡商受到問責和監管。如果你需要對網絡商保持匿名,透過流動數據使用VPN會在流量到達網絡商網絡前將其路由通過VPN伺服器,從而隱藏目的地。對大多數香港用戶而言,相關比較是個人熱點的安全性(網絡商可見、私人網絡、加密流動連接)與公共WiFi(網絡商或場地營運商可見、共享網絡、無WiFi層加密)——個人熱點在所有與公共安全相關的維度上明顯勝出。
