WiFi安全、不限流量及手机号码免密码认证登录

近日，家用WiFi再现严重安全漏洞问题，被黑客利用，将会面临各类隐私数据泄露的风险。这让已经非常普遍使用家用WiFi连接的普通用户产生安全恐惧。当然，如果能够及时对系统安装补丁，也可能是虚惊一场。但是，不管怎么说，网络安全无小事，这个事件出现后，也给运营商的流量经营创新等工作开展具有价值。本文，从这个方面做一些分析，供行业和关注网络连接安全的一般用户做参考。

一、WiFi再现严重安全漏洞问题，建议养成良好的连接习惯

有些人习惯把手机WiFi连接功能一直打开，不管走到哪里，都习惯寻找可以连接的WiFi信号。这是一种非常糟糕的习惯！WiFi，特别是公共WiFi不安全易被攻击泄露个人隐私，甚至泄露账号密码。这在最近几年的央视3·15晚会上，已经反复当场试验过。相信，看过央视3·15晚会的都还记忆犹新。

公共WiFi不安全，那家用WiFi呢，采用WPA2加密方式的家用WiFi应该是很安全的吧？原来是，但是，最近的报道是，家用WiFi也存在较为严重的安全漏洞：WiFi爆出重大安全漏洞，几乎影响所有无线连接设备。这对于我们走到哪连到哪的网民来说，看到这个新闻是不是被“吓尿”了？

北京时间17日凌晨，据研究机构周一发表的研究报告，用于保护Wi-Fi网络安全的保护机制已被黑客攻破，使他们可能监听到通过接入网络的设备进行的通讯交流。WPA2是用于保护现代WiFi网络的安全协议。比利时鲁汶大学的Mathy Vanhoef称，黑客们已经找到一种操纵该安全协议背后的加密因素的途经。报告称，Wi-Fi安全漏洞源于安全标准本身，而非个体设备问题，但它会影响到连接到Wi-Fi网络的设备。Vanhoef称，谷歌公司的安卓系统、苹果公司的iOS系统以及微软的Windows操作系统都会受到影响。

这个报道发生后，到目前为止，国内外都还没有出现大面积严重损失的进一步消息。因此，家用WiFi安全漏洞，看来还只是技术层面。但，这也还是给我们习惯连接WiFi的用户敲响了警钟。

面对这样的安全漏洞，除了及时给设备打上补丁之外（苹果最新推送的iOS11.1beta3版本已经修复这个漏洞，而Windows 10也已经在10月的补丁中修复了该问题），另外的防范措施就是选择值得信赖的安全企业的防护软件。而重要的，还是大家的连接习惯。特别是在公共场所，还是再次提醒，尽量少连接不明WiFi。而在移动场所使用微信支付、支付宝或者网银、证券交易等涉及个人资金财产安全的应用的时候，建议还是选择运营商的数据网络环境下进行。

二、运营商快速推进不限流量套餐，WiFi连接面临替代？

WPA2这种WiFi连接协议已经服役了10多年，到现在才出现技术上可能被利用的漏洞，这说明还是很可靠的。在基础协议上出现问题，这只能是交给企业级的安全专家去解决，个人用户只要及时更新系统或者固件。除此之外，良好的连接习惯是必不可少的。

每次朋友来我家询问WiFi密码的时候，总是会被他们笑话我的密码设置的超级复杂，既有除了常规的字母数字之外，还有特殊字符和大小写差异。其实，这就是一个习惯问题。相比简单的密码而言，不容易被暴力破解。

但是，我们从央视3·15晚会的节目来看，现场连接WiFi的手机的邮箱等信息都被读取，更重要的是不要连接陌生的WiFi，尤其是在公共场所。我们在机场、高铁站等都可以发现，有些WiFi名称设置的更机场、高铁官方提供的WiFi号极为相似的时常有。

也正是因为存在公共WiFi安全等问题，WiFi连接这种方式，在公共场所的场景，已经越来越没有连接价值，被电信运营商的数据网络连接方式替代的可能性越来越大。

从2017年开始，中国联通开启了不限流量套餐这个“魔盒”，推出了不限流量概念的套餐。随后，中国电信也积极跟进了不限流量套餐的新资费模式。由于不限流量套餐对于业务调整的影响较大，尽管中国移动对其非常谨慎，但是也还是在一些省也开始推出了不限流量概念的套餐。虽说“不限流量”只是一种营销上的提法，实际上还是有上限使用的控制。但是，目前主流的不限流量套餐在4G网络环境下的流量达40G甚至更多，就算是看视频都可以。因此，在这种情况下，移动出行状态下，已经完全可以不需要去寻找什么WiFi信号。

所以，从安全的角度来说，电信运营商的不限流量套餐的推出，客观上起到了为用户上网连接更加安全的效果。而不仅仅是落实了“提速降费”的政策。随着电信运营商网络能力的进一步提升，直接采用运营商的数据网络的连接方式能够进一步替代WiFi连接方式的某些场景。

三、没有密码何来密码泄露：手机号码免密码认证登录大有可为

WiFi安全漏洞，主要是通过基础网络连接协议层面盗取用户的隐私信息，特别是盗取用户互联网应用的账号和密码，从而窃取用户的个人资产。因此，这种安全问题的关键源头在于用户的账号和密码。我们使用互联网应用，通常有两种方式进行：一种是账号+密码（用户自己设定）；另一种是账号+动态码（系统随机生成，并通过短信下发到用户的手机上，或者是在特定的设备上随机生成，如网银）。从一些案例来看，账号+密码的方式出现被盗的情况更多，而且由于应用太多，为了容易记住并图省事，往往多个应用会设置成相同的账号和密码，从而会引发一系列的应用被盗号的情况。而采用动态密码的，手机被植入密码后，也时有出现被盗的案例。

而这些被盗号的用户，通常都是技术人员眼里的小白。但是，这样的小白用户在我们这样的网络大国是比比皆是。因此，作为专业技术人员，有必要通过行业级的解决方案为他们提供更加安全的认证登录方式。

武功的最高境界是手中无招，心中也无招，因对手而动，见招拆招。佛偈亦云：本来无一物，何处惹尘埃。因此，一种思路就是我本来就没有密码，那么就能让你无密码可盗！这就是以中国电信为代表的电信运营商创新团队的解决之道。即以手机号码为账号，通过电信运营商级的数据网络和手机卡的加密技术，用户访问采用免密认证登录的应用的时候，可以以更加快捷安全的方式实现认证和登录。2017年9月6日，中国电信在北京举办的“共筑生态，通行未来”的天翼账号开放合作大会上，向业界展示免密码认证登录这种全新的方式时，获得了行业企业的广泛认可。无论是互联网应用企业，还是手机终端厂商，都对这种认证方式给予了积极的肯定。

GSMA代表认为，“天翼账号”所采用的硬件级认证能力的安全等级为高安全等级。当用户同时采用具有近场通信功能的手机和手机卡情况时，在手机卡中内置认证证书，认证数据只在手机卡和手机终端间传递，信息在全过程不出手机终端，即手机卡盾认证，其安全等级将会达到最高等级，与金融银行的安全等级相同。当然，也有一些用户担心如果手机丢了怎么办？其实手机丢了，有手机锁屏的保护功能，如果这个功能也没有，那用传统的方式还是更危险。因为，手机丢了，你可以马上接一个手机打运营商客服电话进行手机卡挂失或者直接到营业厅进行挂失处理。如此，手机卡就失效，免密码认证登录使用不了，反而更安全。

因此，在网络安全问题比较突出的情况下，包括运营商、终端厂商、互联网应用服务提供商等在内的相关行业企业，为网民提供更加安全便捷的认证登录方式，也是一项非常基础性的工作。越是基础性，也越是大有可为。

出于网络安全的考虑，个人用户层面，要养成不随意乱连接不明来源的WiFi的习惯，使用微信支付、支付宝、网银、证券交易等涉及个人资产交易类的移动应用时，在电信运营商数据网络连接环境下进行。在运营商积极落实“提速降费”政策条件下，更换不限流量套餐是非常好的选择。而在行业企业层面，以中国电信为代表的天翼账号免密码认证登录方式预计会成为越来越普遍的新型认证登录方式。这需要行业共同努力推动。

总而言之，有效的网络安全保障，来自服务商的能力提升和个人用户良好的使用习惯。

【文/笨手蛇，仅用于所授权平台发布，未经授权不得转载】