咖啡店、机场、酒店和图书馆的免费 Wi-Fi 很方便 — 也真的很危险。公共网络本质上是不安全的:它们与陌生人共享,通常缺乏加密,并让攻击者轻易地监控或拦截您的流量。行业调查一致发现,大约四分之一的公共 Wi-Fi 热点根本不使用加密,而即使是加密的公共网络也会与每个连接的用户共享密码。本指南涵盖公共 Wi-Fi 的真实风险、您容易受到的具体攻击,以及保护自己的实用步骤 — 包括为什么 VPN 是最有效的单一防御措施。
公共 Wi-Fi 风险
中间人 (MITM) 攻击
在 MITM 攻击中,攻击者将自己置于您的设备和 Wi-Fi 接入点之间,拦截在它们之间流动的所有流量。在未加密的网络上,他们可以阅读电子邮件、捕获登录凭据、查看财务交易并实时修改 Web 内容。即使在 HTTPS 网站上,使用 SSLstrip 等工具的复杂 MITM 攻击也可以降级连接。VPN 使 MITM 攻击失效,因为您所有的流量在离开您的设备之前都已加密。
邪恶双子攻击
攻击者创建一个与合法热点同名的虚假 Wi-Fi 热点 — "Starbucks_WiFi" 或 "Airport_Free" — 并等待设备自动连接。一旦连接,您所有的流量都通过攻击者的设备路由,让他们完全看到您在网上所做的一切。如果您之前连接到同名的网络,您的手机可能会自动连接到邪恶双子。这些攻击使用网上免费可用的工具就能轻而易举地执行。
数据包嗅探
在开放(未加密)的 Wi-Fi 网络上,任何拥有 Wireshark 等免费工具的人都可以捕获并读取所有网络流量。这包括未加密的 HTTP 请求、电子邮件内容、FTP 凭据以及揭示您正在访问哪些网站的 DNS 查询。虽然 HTTPS 保护安全连接的内容,但数据包嗅探仍然揭示元数据 — 您访问哪些域名、何时以及多久访问一次。VPN 加密所有数据包,使嗅探的数据完全不可读。
会话劫持(侧劫持)
登录网站后,您的浏览器存储一个保持您身份验证的会话 Cookie。在公共 Wi-Fi 上,攻击者可以通过数据包嗅探捕获此 Cookie,并使用它冒充您 — 在不需要您密码的情况下访问您的电子邮件、社交媒体或其他账户。虽然 HTTPS Cookie 在传输中受到保护,但并非所有网站都正确地将 Cookie 标记为仅安全。会话劫持在攻击者拥有 MITM 定位的网络上特别有效。
恶意软件分发
同一公共网络上的攻击者可以利用文件共享协议中的漏洞、在未加密的网页中注入恶意内容,或发送虚假的软件更新提示。如果您的设备启用了文件共享或 AirDrop,攻击者可以直接推送恶意文件。一些高级攻击使用被入侵的路由器注入 JavaScript 挖矿程序,或将下载重定向到含恶意软件的版本。保持您的操作系统和应用更新、在公共网络上禁用文件共享,并且永远不要接受意外的文件传输请求。
如何保护自己
如果您采取正确的预防措施,公共 Wi-Fi 不必危险。这六个步骤可显著降低您在任何开放网络上的风险:
- 使用 VPN — 这是最有效的单一步骤。VPN 加密离开您设备的所有流量,使其对网络上的任何人都不可读。即使攻击者捕获了您的数据包,他们也只能看到加密数据。在连接到 Wi-Fi 网络之前启用您的 VPN,并使用终止开关功能在 VPN 断开时阻止流量。Proton VPN 和 NordVPN 都为不受信任的网络提供自动连接选项。
- 在每个网站上验证 HTTPS — 查找浏览器地址栏中的锁定图标。永远不要在 HTTP(非 HTTPS)站点上输入密码、支付信息或个人数据。考虑安装 HTTPS Everywhere 扩展或启用浏览器的仅 HTTPS 模式。HTTPS 加密浏览器和网站之间的连接,但 VPN 提供覆盖所有应用程序的更广泛保护。
- 禁用自动连接 Wi-Fi 网络在您的设备设置中。这可以防止您的手机或笔记本电脑自动加入以前已知的网络名称 — 这些可能是邪恶双子网络。在 iOS 上,前往设置 > Wi-Fi 并为公共网络禁用自动加入。在 Android 上,前往设置 > 网络 > Wi-Fi 首选项并禁用自动重新连接。
- 使用后忘记公共 Wi-Fi 网络。您的设备会记住您连接过的网络,并在范围内时自动重新连接。前往您保存的网络列表并删除任何公共热点 — 咖啡店、机场、酒店。这可以防止您的设备连接到您没有明确选择的网络。
- 启用操作系统的防火墙并禁用文件共享。在 macOS 上,前往系统设置 > 网络 > 防火墙并启用它。在 Windows 上,确保 Windows Defender 防火墙处于活动状态。在公共网络上时禁用 AirDrop、附近共享和任何网络发现功能。这些功能是为受信任的网络设计的,在公共网络上会创建攻击面。
- 在所有重要账户上启用双重身份验证。即使攻击者在公共 Wi-Fi 上捕获了您的密码,2FA 也会阻止他们在没有第二个因素的情况下访问您的账户。使用身份验证器应用(Google Authenticator、Authy)而不是 SMS。请参阅我们的完整 2FA 指南了解设置说明。
为什么 VPN 在公共 Wi-Fi 上至关重要
VPN 是公共 Wi-Fi 安全最有效的单一工具。它使用 AES-256(或 WireGuard 使用的 ChaCha20-Poly1305)加密您的设备和 VPN 服务器之间的所有流量 — 与保护 HTTPS 和 TLS 1.3 的相同算法,远高于任何合理的暴力破解威胁。这一步即可消除中间人攻击、数据包嗅探和会话劫持。Proton VPN 和 NordVPN 等现代 VPN 包括终止开关,在 VPN 连接中断时阻止所有互联网流量 — 防止哪怕短暂的暴露。自动连接功能可以在您加入不受信任的网络时激活您的 VPN。为了获得最佳保护,选择具有 WireGuard 支持(最快)、经审计的无日志政策和 DNS 泄漏保护的 VPN。
- 使用 AES-256 或 ChaCha20 加密所有流量,使数据在共享网络上不可读
- 终止开关在 VPN 断开时阻止所有流量,防止短暂暴露
- 自动连接在加入不受信任的网络时激活 VPN
- DNS 泄漏保护确保 DNS 查询保留在加密隧道内
公共 Wi-Fi 误区
"HTTPS 使公共 Wi-Fi 安全"
HTTPS 加密浏览器和特定网站之间的连接,但它不保护您所有的流量。DNS 查询通常未加密传输,揭示您访问哪些站点。您设备上的其他应用程序可能使用未加密协议。HTTPS 不会阻止攻击者查看您的连接元数据或拦截来自非 HTTPS 服务的流量。VPN 提供 HTTPS 本身无法匹敌的全面保护。
"受密码保护的 Wi-Fi 是安全的"
Wi-Fi 密码可以防止未经授权的人加入网络,但拥有密码的每个人都共享相同的加密密钥。在 WPA2-Personal 网络(大多数公共场所使用的类型)上,拥有密码的任何人都可以解密其他用户的流量。即使是 WPA3 网络,虽然有所改进,但也不能完全保护免受同一网络上其他经过身份验证的用户的攻击。密码可以将外部人员拒之门外 — 它不能保护您免受内部人员的攻击。
"在公共 Wi-Fi 上我没有什么值得偷的"
您可能没有输入信用卡号码,但公共 Wi-Fi 攻击捕获的远不止财务数据。电子邮件凭据让攻击者可以访问每个链接账户的密码重置。社交媒体登录可实现冒充和社会工程。会话 Cookie 允许在没有密码的情况下访问。浏览历史和 DNS 查询揭示个人兴趣、健康问题和政治观点。即使是看似无害的数据在聚合时也会变得有价值。每个人都有值得保护的东西。
底线
公共 Wi-Fi 本质上是不安全的,但不必避免它 — 只需明智地使用它。VPN 是公共 Wi-Fi 安全最重要的单一工具,它加密您所有的流量并消除最常见的攻击。将其与 HTTPS 意识、禁用自动连接、重要账户上的 2FA 以及基本的网络卫生相结合,您就可以自信地使用任何 Wi-Fi 网络。真正的危险不是公共 Wi-Fi 本身 — 而是在没有保护的情况下使用它。