这套机制对Wi-Fi登录前的安全保障负责,“动态密码作为接入校验,多了一个认证因子,对判断虚假Wi-Fi和运营商防止黑客破解Wi-Fi接入是有意义的。”在Wi-Fi安全独立研究员营智敏看来,到目前为止,虚假Wi-Fi的制作者是无法提供这样一个校验码的,“最起码他们买不了和运营商一致的短信接口,也无法形成相似的联动机制,另一方面,他们也无法攻击网页登录界面去获得动态密码,因此,在这条界限内,攻击者被暂时拦在了门外。”不过他也提出,这种安全也只在没有“伪基站”的前提下成立。
犯罪分子的手段在不断升级,而防御管理者却始终在入门级的安全水平徘徊。“Wi-Fi安全分为没有链接之前的诱骗、诱导攻击和链接之后的中间人攻击。” 在业内人士看来,Wi-Fi犯罪成本低,犯罪技术手段正在不断成熟,对于地下黑客而言,早就形成了一条庞大的利益链条。而最初的入门防御,其实很难阻挡他们犯罪的脚步。
林先生在Wi-Fi行业工作多年,他告诉记者,目前的这套验证机制就好比是在一幢大楼的门口装了一个摄像头,能记录下每一个进出的人,但是进去之后这些人做了什么,就无从追踪了。而验证码就好比这个摄像头,无法记录登录Wi-Fi后,人们都干了什么。因此如何防御进入网内的攻击,目前,官方的法律规范几乎是空白。
而缺乏有关规范条例的约束,业内各方只能“跟着感觉”来把控安全。
◆ 用户信息密码竟然明文传输
目前,Wi-Fi使用的现状是,公共Wi-Fi普及率低,商用Wi-Fi发展速度快,但安全级别无法考证。业内观察人士对此评价,商用Wi-Fi更在意Wi-Fi所能带来的商业价值,而非安全本身。
安全向利益妥协,这并不是戏言。“目前,国内大部分商用Wi-Fi运营商都处于起步阶段,要求他们做到成熟的安全防御本来就不现实。”据一位知情人士透露,尽管不少商用Wi-Fi也配备了验证码机制,但其目的并非是用户认证,而是为了截取用户的手机号码等个人信息。而个人信息的大量聚拢本身就能产生无形的商业价值。
“安全加密通道”,对于国内大部分Wi-Fi用户而言,是颇为陌生的专用词,也正是因为如此,大量的厂商和Wi-Fi运营商才有空间做到对于这种更安全的技术手段“视而不见”。
事实上,安全加密通道是保障Wi-Fi安全的重要手段。在国内Wi-Fi作为可以传递的信息通道,用户完全有权要求选择自己在Wi-Fi上流通的内容是否通过加密传输。但到目前为止,除了部分银行采取了以安全专线的技术方法为某类型的业务提供加密传输外,普通大众的日常Wi-Fi使用,都并不具备如此“待遇”。
