使用公共 Wi-Fi 的保安贴士
很多本地及海外公众场所(例如商场、咖啡店、酒店、机场或政府场地等)都会提供免费 Wi-Fi 上网设施。用户使用 Wi-Fi 服务时,须注意相关保安风险。
潜在的保安风险
经 Wi-Fi 通讯传送的讯息可能被截取。
不小心将流动装置连接至黑客装设或被黑客入侵的Wi-Fi网络,用户可能因而按下连接至欺诈或附有恶意程式网站的连结,导致帐户、个人资料外泄,或流动装置被恶意软件感染等。
安全贴士
所有软件(特别是保安应用软件及浏览器)须经常保持更新。
小心核实所选用网络的服务设定识别码(Service Set Identifier, SSID),不签来历不明或可疑的Wi-Fi网络。
采用现行的 Wi-Fi 通讯加密标准(如有的话),并避免使用有线等效保密规约(WEP)及无线保护接达(WPA)等有潜在保安漏洞的加密标准。
连接公共Wi-Fi时避免使用电子服务(包括社交媒体平台、电子银行服务等)处理个人或敏感资料。如有需要,应采取适当的加密连接,例如采用超文本传输安全规约(HTTPS)或虚拟私有网络(VPN)等。
避免按下可疑网页上的任何连结。
停用流动装置的自动连接功能。当不使用Wi-Fi时,关闭流动装置的Wi-Fi连接。
终端用户使用公共无线服务浏览互联网的贴士
当无线装置(例如手提电脑或手提装置)接达公共无线热点,便有机会受远程攻击者的威胁。虽然如此,以下的保安贴士可以助你远离攻击者的陷阱:
切勿随意摆放你的无线装置而不加看管;
以密码保护装置:启动装置的开机登入功能、系统登入身份认证和密码式屏幕保护。
如没有需要,关闭无线连线:当无线装置启动了 Wi-Fi、红外线及蓝芽,便会经常对外发出讯号,等于在你不知不觉间向攻击者招手。
使用最新的无线网络界面卡驱动程式:网络界面卡只是一般软件,并非万毒不侵。因此,要经常更新最新的驱动程式,以确保无线装置从产品供应商得到最新的保护和支援。
以含有最新定义档的抗恶意程式码软件来保护装置,可减低感染恶意软件的风险。
替装置上的敏感/个人资料加密:就算当未获授权用户成功接达装置,经加密的资料对窃匪来说已加多一重障碍。
关闭无线界面卡的资源共用规约:当共享档案和文件夹时,可能会吸引攻击者试图操控共享的资源。
使用公共无线服务时删除你的「惯用网络」:有些操作系统会让你把一些常用的无线网络设定为「惯用网络」,一经设定,你的系统会不断寻找并尝试自动连接这些「惯用网络」。通过收集由系统传送出来的资料,攻击者便可根据「惯用网络」的无线网络设定,设置一个虚假的无线接驳点。这样,你的装置便会自动连接到攻击者虚假的无线网络。
关闭临机操作模式网络:「临机」操作模式网络以最低限度的保安对抗未获授权的进入连接,让你的无线装置通过无线连接与其它电脑或装置通讯。应关闭临机操作模式以防止攻击者容易接达在你装置上的资料和资源。
不要同时启动无线及有线网络界面卡:当无线网络界面卡并未被关闭,而你的无线装置连接到有线网络,攻击者便有机可乘地利用已启动的网络桥路并通过开放的无线网络入侵有线网络。
检查「捕获门户」(captive portal)网站的真确性:「捕获门户」网页常用于公共热点作为用户认证及阻吓攻击者的机制。当连接到公共热点时,用户会先被导向至「捕获门户」的网页。然而,攻击者也可以设立虚假的「捕获门户」网页,藉此收集用户的个人资料。所以,当连接到公共热点时,用户应先检查「捕获门户」网站的伺服器证书以确定网站的真确性。
切勿透过公共无线网络传输敏感/个人资料:公共无线网络通常被视为不安全的网络,如没有适当的保安控制,不应于公共无线网络传输敏感或个人资料。
采用虚拟私有网络(VPN)加密无线通讯:如无可避免要在公共无线网络传输敏感或个人资料,可采用虚拟私有网络加密无线通讯以确保通讯的保密性。如要得到更多 VPN技术的资料,请参考「虚拟私有网络保安」一文。
使用 VPN时关闭分隔隧道功能:如果用户已通过虚拟私有网络连接私有网络,同时又利用分隔隧道功能连接互联网或其它不安全的网络,这可能对所连接的私有网络构成威胁。
在弃置无线装置前删除所有敏感的配置资料:在弃置旧的无线装置前,应先删除所有敏感的配置资料,例如服务设定识别码(SSIDs)或密码匙。
当你使用公共无线网络时,可根据上述的保安贴士去保护你的无线装置和个人资料。虽然还有其它可采取的防范措施,但这些保安贴士不失为一个不错的起步点。
