如何保证 Wi-Fi 网络的安全性？

家庭wi-fi网络，被攻击的后果是？

无非破解了简单的密码成功蹭网而已。大不了抓包工具窥探一下流量。窥探老王是不是瞎胡搞。。。

可是，一旦成功蹭网，距离以管理员登录路由器就更进一步了。如果wi-fi路由器的管理员密码保持了默认或者简单， 修改DNS服务器设置，是不是就将全网的流量劫持了。

现在有哪些业务流量不是https安全保护，劫持了又如何？

如果用户老王访问的银行网站是假的，一个高仿银行网站。老王以为自己访问的银行网站是真的银行网站，从而输入卡号、密码，即使神仙在也帮不了老王，更不用说什么https保护，一点用没有。

假网站的号主，用老王输入的卡号、密码，制作一张银行卡，ATM取款，老王的银行卡里的钱就被取走了。。。

如果老王没有用电脑，而是手机APP登录银行网站，即使流量被劫持了，劫持方也无法欺骗APP，这当然都是https安全保护的功劳。因为银行APP会严格检查服务器的域名，高仿的服务器一下子就露馅了。最坏的情况就是流量被劫持了登录不了真正的银行服务器而已，老王账户的钱不会被别人取走。

如果你是老王，会如何加强wi-fi网络的安全？

• 最关键的一步，就是将wi-fi密码设置得极其复杂、随机（数字、英文大小写、特殊符号缺一不可），长度为wi-fi密码长度的上限。
• 其次，路由器的管理员密码设置同样复杂，但是千万不要和wi-fi密码相同。
• 最后，不要使用万能钥匙等分享wi-fi密码的软件，因为它们会将你的wi-fi密码上传服务器，并分享给你附近的用户。密码再复杂，也形同虚设。

但是，每家总会有亲朋好友上门做客，是不是会询问密码并上网的？

你能保证自己、家人不用万能钥匙，你能保证他们不使用？

只要有一人用万能钥匙，你家的密码就不安全了。

路由器设置两个SSID，自家用的SSID叫private，隐藏SSID广播。

供客人使用的SSID为public，限速，两个SSID密码要完全不一样。

客人来了，只告诉public的密码，不要担心他们会发现private网络，因为他们的手机是发现不了，除非你告诉他们。

为了避免由于guest网络被万能钥匙蹭网，可以不定期修改guest的密码。

可是随着计算机运算速度以及破解水平的提升，目前使用的WPA/WPA2，如果用户设置的密码是弱强度密码，被破解的风险越来越高。无论如何强调，总还会有设置弱密码的用户的存在。如何保证即使用户使用弱密码，也能最大限度保证用户的网络安全？

答案就是WPA3 的SAE认证，SAE将椭圆曲线的算法引入WPA3。攻击方不能用离线（offline）字典攻击老套路，只能在线（online）攻击。每次盲猜密码只有在线等待AP/路由器的确认对或错。为了避免攻击方一直盲猜下去，AP/路由器一旦发现盲猜的频率或者次数超出预设值，直接不理了，过了N分钟再理。攻击方盲猜的密码不知对错，这个游戏就无法继续了。

当然如果用户设置的密码极其简单，如123456、888888、666666这样的弱密码，即使有SAE的强力保护，也有被盲猜的风险，因为要不了几次就盲猜出来了。

最后，随着WPA3一起推出的安全措施还有MFP（Management Frame Protection），这个MFP用一句话描述，就是wi-fi管理帧的完整性保护（Integrity Protection）。

没有MFP的保护，Client收到来自AP的De-authentication、De-association强制踢下线的管理报文，无条件判断是否真的来自AP还是攻击方。但是有了MFP的MIC完整性保护，攻击方是伪造不出这些报文的。如果没有MIC签名，client直接拒绝，这样可以减少被攻击方伪造报文踢下线的风险，保持网络的稳定性。

这个MFP Feature在企业无线网络里特别重要，另外留下一个思考题：

企业wi-fi为何不担心员工用万能钥匙分享企业wi-fi的密码？

原文始发于微信公众号（车小胖谈网络）：如何保证 Wi-Fi 网络的安全性？