【知乎】 公共场所提供 WIFI 密码涉嫌违反《网络安全法》，你会连公共场所的 WIFI 吗

 公共场所提供 WIFI 密码涉嫌违反《网络安全法》，你会连公共场所的 WIFI 吗？

琴梨梨OvO

已是苏堤春晓 多怕你看不到 笔墨沾雨 折一枝 桃花随信送到

123 人赞同了该回答

然而使用WPA/WPA2/WPA3密码加密的wifi相对于开放wifi要安全得多

开放网络的安全性是最差的，因为数据帧完全无加密，即使使用了网页验证，数据帧还是裸奔着飞来飞去，脚本小子都能将其捕获甚至篡改，进行中间人攻击

所以为了解决这个问题，WEP出现了，WEP对于整个网络使用一样的密钥，加密了数据帧，解决了街边脚本小子的问题。但因为整个网络使用一样的密钥，如果一个脚本小子正好知道密码连上了，整个网络又裸奔了

直到WPA的出现，这个问题才被真正解决，WPA为每个数据包创建独立密钥，并进行完整性检查，这个巨大的创新彻底拦住了脚本小子，脚本小子再也没法通过简单的嗅探数据包进行中间人攻击了

后来WPA2和WPA3又陆续改进了密钥算法和完整性检查算法，进一步解决了算法上的漏洞，安全性就更高了

因此我们不难得出：使用WPA系列加密的wifi是相对安全的

但注意我说的是相对安全，不是绝对安全

为什么不是绝对安全？因为WPA解决的是wifi链路的安全性，没有解决本身局域网的安全问题

局域网的安全问题在于，同一局域网内的设备之间可以互相访问，这是大多数路由器的默认行为

因此局域网中的设备有能力对同一局域网的设备发起攻击，这对于设备来源不可信的情况下来说是相当危险的，比如一个感染了wannacry的电脑连接了拥有数十台无补丁电脑的局域网

解决办法是什么呢？很简单，局域网隔离，禁止同一局域网设备之间互相访问，问题就解决了

那么怎么辨别接入者的身份呢？显然大家都简单的使用同一密码无法区别身份

WPA制定的时候是考虑到了的。我们平常家用的叫做WPA-Personal，只有密码验证，但实际上还有一个WPA-Enterprise，会要求用户名+密码验证，并且提供更复杂的配置参数

我目前的学校和之前的学校均使用WPA-Enterprise加密，可以有效鉴别连接者身份，而且不需要网页认证（因此充分实施该特性的无浏览器IoT设备也可以连接），澳洲最大的超市之一Woolworths也使用这种加密安全的提供公共wifi

https://my.uq.edu.au/information-and-services/information-technology/internet-and-wifi/connecting-wifi

那么有没有办法实现不把实名信息提供给店家的情况下就对网络实现实名验证呢？也是有办法的，我在此提出一种解决办法

可以推行个人专用的数字证书，每个人都可以申领只属于自己的数字证书，WPA-Enterprise是支持证书加密的，连接时选择自己的证书，即可安全的进行实名验证，因为数据通过本地的证书私钥加密，验证端只能通过公钥验证合法性，却不能获取私钥来伪造新的加密信息，这种非对称加密实现了店家知道你是谁却无法伪装为你的身份

而且可以很轻松的做成多个地方使用同一信息验证，比如eduroam那样全球漫游验证，用户体验极佳

如果个人数字证书不幸泄漏，也只需要撤销旧的证书并领取新的证书即可解决。证书与个人绑定而不与设备绑定，因此不需要手机号，不需要特定设备，有证书就能验证

简单总结如何构建一个实名认证的安全网络：基于个人专用数字证书的WPA-Enterprise加密

编辑于 2023-09-06 06:42

赞同 123收起评论

分享

收藏喜欢

收起

发布一条带图评论吧

34 条评论

默认

最新

图吧垃圾王

老哥能不能讲讲WAPI

刚刚 · IP 属地辽宁

回复喜欢

吉浩然

是对他们来说不安全，我们安不安全他们不关心

10 小时前 · IP 属地上海

回复20

王麻子

人家要的安全是能顺藤摸瓜抓到你小子，你的数据安全不安全管它鸟事啊！

7 小时前 · IP 属地四川

回复18

Henry Pei

首先你得会在设备上安装证书，其次你还得保证证书不会泄露。这两点能筛掉90%的用户。更不用说要在后端搭建认证平台，跟每个店家对接这种现实上不具备可行性的操作了。

10 小时前 · IP 属地广东

回复11

琴梨梨OvO

作者

安装证书这个过程可以通过自动的app实现，app内完成一次身份验证即可安装证书到当前设备，不支持的平台再交给用户自己手动安装证书。证书泄露也只需要重新颁发新的即可。店家对接也没什么难度，验证可以开源，因为验证只验证公钥，开源没有安全风险

9 小时前 · IP 属地澳大利亚

回复3

琴梨梨OvO

作者

Henry Pei

如果证书有效期足够短，那么泄露的风险也可以降低，就好像https证书现在缩短到1年有效一样，个人数字证书我认为半年有效期就够

9 小时前 · IP 属地澳大利亚

回复2

查看全部 6 条回复

大老鼠

显然新闻中的安全和你说的安全完全是两个概念

7 小时前 · IP 属地上海

回复4

木村·星辰

网页认证就是WPA-Enterprise，网页认证的过程实际就是证书发行

7 小时前 · IP 属地江苏

回复2

Cmark-超马克

然后想提供wifi热点需要采购指定路由器是吧，一台20万，每年收5万认证服务费

7 小时前 · IP 属地美国

回复2

琴梨梨OvO

作者

不用，wpa-enterprise时公开标准

7 小时前 · IP 属地澳大利亚

回复喜欢

琴梨梨OvO

作者

Unfreeman

改不了，因为wpa是全球标准，又不禁止进口电子产品

6 小时前 · IP 属地澳大利亚

回复喜欢

展开其他 1 条回复

snowk

我真的想吐槽，但是槽点太多，我一个一个说吧，现在启用tls的网站加密完全能避免中间人，除非你操作手机安装非法证书，软件是无权安装证书的。这是安卓的情况，不清楚苹果。而且，即使安装了非法证书，在安卓7.0之后版本，这个证书也只有部分浏览器承认合法性，软件应用是不承认合法的。你要说pc端，我承认确实好安证书，但是又有谁能用笔记本连公共wifi同时还安装证书

7 小时前 · IP 属地黑龙江

回复1

琴梨梨OvO

作者

snowk

安装证书来解决公共wifi身份验证在澳洲已经有不少案例，我自己就在用，当然需要用户同意，但只需要一次授权就可以用到证书过期为止

7 小时前 · IP 属地澳大利亚

回复1

琴梨梨OvO

作者

软件是可以在用户允许的情况下安装wifi专用的证书的,securew2就是一个例子

7 小时前 · IP 属地澳大利亚

回复喜欢

查看全部 6 条回复

拖延症患者

好家伙 遥遥领先

4 小时前 · IP 属地辽宁

回复喜欢

张三

事实上，eduroam这玩意，大部分人都要看教程完成第一次设置

4 小时前 · IP 属地广东

回复喜欢

拖延症患者

琴梨梨OvO

确实只需要一次，那生意可就来了

4 小时前 · IP 属地辽宁

回复喜欢

琴梨梨OvO

作者

但也只需要一次

4 小时前 · IP 属地澳大利亚

回复喜欢

古韵香沉

1不要提供免费wifi。
2.非要提供的话，那就只能碰运气会不会遇到选择执法了，反正底层涉及违法的地方多着呢。
至于你的方案，你以为别人是为了解决问题的吗。

5 小时前 · IP 属地江苏

回复喜欢

形势逼人又喜人

想了想，还是点了反对。ssl普及的今天，真的很难想象链路层加不加密有什么问题

7 小时前 · IP 属地上海

回复喜欢

琴梨梨OvO

作者

tls到现在sni还是明文呢，什么时候ech正式投入使用了再考虑链路层不加密

7 小时前 · IP 属地澳大利亚

回复3

PF89QAQ

不开wpa，随便找个人呆你家门口，最起码也能抓到你访问的网站，局域网没配置ssl的密码，dns数据，设备活动记录

3 小时前 · IP 属地加拿大

回复喜欢

评论区整活

个人家用也尽量设置成WPA2/3加密对吧？

7 小时前 · IP 属地上海

回复喜欢

琴梨梨OvO

作者

是

7 小时前 · IP 属地澳大利亚

回复喜欢

疯疯

自作多情了

8 小时前 · IP 属地山西