你曾在公共场所使用Wi-Fi 无线上网吗?里面潜藏了许多你不知道的资安风险!
你或许没注意过,这些公用网络可能会使你的信用卡信息、账号密码等敏感信息传送给黑客!
资安专家表示:使用公共Wi-Fi毫无隐私可言,是如同家门大开般将个资拱手赠与给黑客的行为。前几年曾有中国民众联机公共Wi-Fi导致银行存款全数被盗引起关注,以及国外咖啡厅里也有黑客利用公共Wi-Fi散布挖矿程序非法利用他人设备挖矿;此外知名VPN业者也表示有多达25%的旅客,在国外旅行期间联机使用公共Wi-Fi,而遭到黑客窃取数据信息或者植入恶意软件。
因此资安专家建议,在外需使用公共Wi-Fi时可透过VPN程序加密网络联机,让第三方单位无法拦截您的宝贵资料。
VPN的使用场合其实比一般人所想的还频繁,例如是跨国下载文件、想领取跨国网站优惠…等,现代民众越来越多人上网寻找免费且接口好用的VPN程序,程序本身的安全性却是最容易被忽略的关键!近期多家VPN厂商在影音平台上大打广告,主打VPN程序不会记录联机信息以及保护个人数据,且透过VPN提供的安全加密联机通道,能有效阻断有心人士追踪IP位置进而达到防护的功能;但其实VPN程序只能做到从中间阻断个资外泄的可能,无法从源头就排除被骇入的机会。
首先我们可以先了解VPN(虚拟专用网)的运作原理,就是透过:
1. 加密技术让数据在设备与服务器传递之前,无法会被有心人士解读并加以利用,提升不少网络安全性。
2. 透过VPN建立的隧道协议建立虚拟的对等连接,也可用于存取私人资源,同时能够在安全的状况下存取重要的信息。
藉由以上两点方式让自身的IP位置、浏览纪录以及在线活动不会曝露在网络世界中供人随意查阅,保护自己的安全。
VPN好处虽多,但也不是百分百安全,主要因为VPN用户仅能盲目相信VPN供货商的资安系统,或是相信VPN供货商的资安不会外泄;此外源头Wireless AP 若已产生资安问题,即便再使用VPN服务也无法免除被骇风险。
由于Wireless AP自设定后一般民众通常不会检查是否需要更新,以及密码是否定期更改,因此我们建议从源头做起,以下为Allion针对不同族群提供的专业建议:
针对一般消费者的建议
拿到设备初期,优先加密传输方式
避免使用WEP加密方式
改用安全性更佳的WPA-PSK/WPA2-PSK
搭配TKIP、AES、TKIP+AES等进阶验证模式
更改默认AP账号密码、定期修改密码
定期注意固件更新、减少设备漏洞
针对网通产品厂商与品牌商的建议
寻求专业检测实验室或相关单位协助,减少不必要的风险产生
借助专业第三方安全检测工具 如:
Fortify 源码检测
CyberRes
确认检测内容遵循欧洲电信标准协会(ETSI)的标准,从网络安全规定面向涵盖下列内容:
无通用默认密码
实施一种方法来管理漏洞报告
持续进行软件更新
安全储存敏感的安全参数
通讯安全
最小化暴露出的攻击面
确保软件完整性
确保个人资料的安全性
使系统具备抗故障能力
检查系统远程数据
让用户可轻松删除用户数据
简化设备的安装和维护
验证输入数据
以上13项内容是对应开放式Web应用程序安全项目 OWASP IoT Top 10 的项目内容
