【IT168 评论】热点正风靡当下。如今世界各地的人们对稳定连接都有热切需求。很可能你也是其中一员。
据此预测,到2015年公共热点将增加350%,预计私有热点的数量将达到6.4亿。
全球公共热点和私有热点在呈现爆炸式增长,与此同时,身份窃取、欺诈和其他访问未加密信息的犯罪活动也在泛滥。
因此,除去对连接的要求未满足外,用户越来越意识到并担心他们在开放热点的通讯被泄露。
绝大多数有资深IT员工的企业将利用适当的加密技术保护内部无线设施。但绝大多数公共热点则没有加密或以任何方式予以保护。
这意味着存在攻击用户的潜在风险或者保密性受到损害。有些企业IT人员有限,有心提供更安全的访问却没有时间或技术实施强劲的无线安全,对于它们来说,这也是个重大问题。目前应该解决的两大主要安全问题包括提供更安全的热点体验认证(例如用户身份认证)和加密(数据置乱)。
客户端与目的地服务器间的加密传输对于传输层(如HTTPS)的安全有作用。但是当数据流在空间传输时用户希望链路层(第2层)有更多的保证。
当今热点的安全性
链路层加密的传统方法要求用户选择一个SSID,进入某种共享密钥或密码以对空中传输的数据进行置乱。热点Wi-Fi访问——例如在星巴克或机场——一般是基于开放SSID,容易获取,只要求用户接受一般使用条款和条件,没有对数据传输进行加密。
由于当今热点使用开放连接,即没有提供任何形式的链路层安全,用户可能会受到以下攻击:
● 拦截。攻击者模拟用户设备连接的接入点,造成用户设备脱离Wi-Fi网络。然后该攻击者进入用户会话,实施有效的窃取服务。
● Cookie拦截。在这种情况下,攻击者偷偷窥探未加密Wi-Fi通讯并拦截用户会话cookie,使攻击者可访问Web网页上私有用户内容。
● 双面恶魔。对于这种攻击,攻击者建立一个欺诈接入点,其SSID与合法热点提供商部署接入点的SSID同名。这种攻击可用于身份窃取。
● 窃听。指未加密Wi-Fi通讯被攻击者拦截,危害到个人信息,例如密码、信用卡号和邮件信息。
绝大多数企业网络没有这些Wi-Fi安全问题,因为他们利用IEEE802.11i架构利用WPA2-企业加密和EAP认证。然而,热点一般不提供802.1X通信。因此,用户无法保证连接是安全的且数据受到保护。换句话说,热点安全设置基本是“开放的”。所以,当用户进行认证时,无法确保提供的持续访问是加密的且能阻止安全破坏。
最终,使用WPA2企业加密会造成客户端难以在不同的Wi-Fi热点间漫游。如果移动设备连接管理器没有识别出漫游合作伙伴网络的SSID,就不会试图加入该网络。在绝大多数情况下,用户并不知道漫游合作伙伴网络的SSID。
如果有一种方式可以通过开放SSID自动提供加密访问,而用户只需点击选择更安全的连接,那又将如何呢?那将可以称得上是热点的圣杯了。