پرش به محتوای اصلی

امنیت وای‌فای عمومی: از خود در شبکه‌های باز محافظت کنید

چگونه در وای‌فای عمومی ایمن بمانید. خطرات واقعی شبکه‌های باز، نحوه سوء استفاده مهاجمان، و ابزارهایی که از داده‌های شما محافظت می‌کنند.

آخرین به‌روزرسانی: ۱۶ فروردین ۱۴۰۵

وای‌فای رایگان در کافی‌شاپ‌ها، فرودگاه‌ها، هتل‌ها و کتابخانه‌ها راحت — و واقعاً خطرناک است. شبکه‌های عمومی ذاتاً ناامن هستند: با غریبه‌ها به اشتراک گذاشته می‌شوند، اغلب فاقد رمزگذاری هستند، و به مهاجمان دسترسی آسان برای نظارت یا رهگیری ترافیک شما می‌دهند. نظرسنجی‌های صنعتی به طور مداوم نشان می‌دهند که حدود یک چهارم نقاط دسترسی وای‌فای عمومی اصلاً از رمزگذاری استفاده نمی‌کنند، و حتی شبکه‌های عمومی رمزگذاری شده نیز رمز عبور را با هر کاربر متصل به اشتراک می‌گذارند. این راهنما خطرات واقعی وای‌فای عمومی، حملات خاصی که در برابر آنها آسیب‌پذیر هستید، و مراحل عملی برای محافظت از خود را پوشش می‌دهد — از جمله اینکه چرا VPN مؤثرترین دفاع منفرد است.

خطرات وای‌فای عمومی

حملات Man-in-the-Middle (MITM)

در حمله MITM، مهاجم خود را بین دستگاه شما و نقطه دسترسی وای‌فای قرار می‌دهد و تمام ترافیک را رهگیری می‌کند. در یک شبکه رمزگذاری نشده، می‌تواند ایمیل بخواند، اعتبارنامه‌های ورود را ضبط کند، تراکنش‌های مالی را ببیند و محتوای وب را در زمان واقعی تغییر دهد. حتی در سایت‌های HTTPS، حملات پیشرفته MITM با ابزارهایی مانند SSLstrip می‌توانند اتصالات را تنزل دهند. VPN حملات MITM را بی‌اثر می‌کند زیرا تمام ترافیک شما قبل از خروج از دستگاه رمزگذاری می‌شود.

حملات Evil Twin (دوقلوی شیطانی)

مهاجم یک نقطه دسترسی وای‌فای جعلی با همان نام یک نقطه قانونی ایجاد می‌کند — „Starbucks_WiFi" یا „Airport_Free" — و منتظر می‌ماند تا دستگاه‌ها به طور خودکار متصل شوند. پس از اتصال، تمام ترافیک شما از طریق دستگاه مهاجم عبور می‌کند و به او دید کاملی از همه کارهایی که آنلاین انجام می‌دهید می‌دهد. تلفن شما ممکن است به طور خودکار به دوقلوهای شیطانی متصل شود اگر قبلاً به شبکه‌ای با همان نام متصل شده باشید. این حملات با ابزارهای رایگان موجود به راحتی قابل اجرا هستند.

شنود بسته‌ها

در شبکه‌های وای‌فای باز (رمزگذاری نشده)، هر کسی با ابزارهای رایگان مانند Wireshark می‌تواند تمام ترافیک شبکه را ضبط و بخواند. این شامل درخواست‌های HTTP رمزگذاری نشده، محتوای ایمیل، اعتبارنامه‌های FTP و پرس‌وجوهای DNS است که نشان می‌دهند چه سایت‌هایی را بازدید می‌کنید. در حالی که HTTPS محتوای اتصالات امن را محافظت می‌کند، شنود بسته‌ها همچنان فراداده‌ها را آشکار می‌کند — کدام دامنه‌ها، چه زمانی و چقدر اغلب. VPN تمام بسته‌ها را رمزگذاری می‌کند و داده‌های شنود شده را کاملاً غیرقابل خواندن می‌سازد.

ربایش جلسه (Sidejacking)

پس از ورود به یک وب‌سایت، مرورگر شما یک کوکی جلسه ذخیره می‌کند که شما را احراز هویت شده نگه می‌دارد. در وای‌فای عمومی، مهاجم می‌تواند این کوکی را از طریق شنود بسته ضبط کند و خود را به جای شما جا بزند — به ایمیل، رسانه‌های اجتماعی یا حساب‌های دیگر شما بدون نیاز به رمز عبور دسترسی پیدا کند. اگرچه کوکی‌های HTTPS در حمل و نقل محافظت می‌شوند، همه سایت‌ها کوکی‌ها را به درستی به عنوان secure-only علامت‌گذاری نمی‌کنند. ربایش جلسه به ویژه در شبکه‌هایی که مهاجم در موقعیت MITM قرار دارد مؤثر است.

توزیع بدافزار

مهاجمان در همان شبکه عمومی می‌توانند آسیب‌پذیری‌های پروتکل‌های اشتراک‌گذاری فایل را سوء استفاده کنند، محتوای مخرب را در صفحات وب رمزگذاری نشده تزریق کنند یا درخواست‌های به‌روزرسانی نرم‌افزار جعلی ارسال کنند. اگر دستگاه شما اشتراک‌گذاری فایل یا AirDrop فعال داشته باشد، مهاجمان می‌توانند فایل‌های مخرب را مستقیماً ارسال کنند. برخی حملات پیشرفته از روترهای آلوده برای تزریق ماینرهای جاوااسکریپت یا تغییر مسیر دانلودها به نسخه‌های آلوده به بدافزار استفاده می‌کنند. سیستم عامل و برنامه‌ها را به‌روز نگه دارید، اشتراک‌گذاری فایل را در شبکه‌های عمومی غیرفعال کنید و هرگز درخواست‌های انتقال فایل غیرمنتظره را نپذیرید.

چگونه از خود محافظت کنید

وای‌فای عمومی نباید خطرناک باشد اگر اقدامات احتیاطی مناسب را انجام دهید. این شش مرحله خطر شما را به طور قابل توجهی در هر شبکه بازی کاهش می‌دهند:

  1. از VPN استفاده کنید — مؤثرترین گام منفرد. VPN تمام ترافیک خروجی از دستگاه را رمزگذاری می‌کند و آن را برای هر کسی در شبکه غیرقابل خواندن می‌سازد. حتی اگر مهاجم بسته‌های شما را ضبط کند، فقط داده‌های رمزگذاری شده را می‌بیند. VPN را قبل از اتصال به وای‌فای روشن کنید و از ویژگی کلید قطع برای مسدود کردن ترافیک در صورت قطع شدن VPN استفاده کنید. هم Proton VPN و هم NordVPN گزینه‌های اتصال خودکار برای شبکه‌های نامطمئن ارائه می‌دهند.
  2. HTTPS را در هر سایت تأیید کنید — به دنبال نماد قفل در نوار آدرس مرورگر باشید. هرگز رمز عبور، اطلاعات پرداخت یا داده‌های شخصی را در سایت‌های HTTP (نه HTTPS) وارد نکنید. نصب افزونه HTTPS Everywhere یا فعال‌سازی حالت HTTPS-only مرورگر را در نظر بگیرید. HTTPS اتصال بین مرورگر و سایت را رمزگذاری می‌کند، اما VPN حفاظت گسترده‌تری برای تمام برنامه‌ها فراهم می‌کند.
  3. اتصال خودکار به شبکه‌های وای‌فای را در تنظیمات دستگاه غیرفعال کنید. این جلوگیری از پیوستن خودکار تلفن یا لپ‌تاپ به نام‌های شبکه قبلاً شناخته شده می‌کند — که ممکن است شبکه‌های دوقلوی شیطانی باشند. در iOS: تنظیمات > وای‌فای و Auto-Join را برای شبکه‌های عمومی غیرفعال کنید. در اندروید: تنظیمات > شبکه > تنظیمات وای‌فای و اتصال مجدد خودکار را غیرفعال کنید.
  4. شبکه‌های وای‌فای عمومی را پس از استفاده فراموش کنید. دستگاه شما شبکه‌هایی را که به آنها متصل شده‌اید به خاطر می‌سپارد و وقتی در محدوده باشید به طور خودکار دوباره متصل می‌شود. به لیست شبکه‌های ذخیره شده بروید و هر نقطه دسترسی عمومی را حذف کنید — کافی‌شاپ‌ها، فرودگاه‌ها، هتل‌ها. این از اتصال دستگاه شما به شبکه‌هایی که آن‌ها را به صراحت انتخاب نکرده‌اید جلوگیری می‌کند.
  5. دیوار آتش سیستم عامل را فعال کنید و اشتراک‌گذاری فایل را غیرفعال کنید. در macOS: تنظیمات سیستم > شبکه > دیوار آتش و آن را فعال کنید. در ویندوز: مطمئن شوید Windows Defender Firewall فعال است. AirDrop، Nearby Sharing و هر ویژگی کشف شبکه را در شبکه‌های عمومی غیرفعال کنید. این ویژگی‌ها برای شبکه‌های مورد اعتماد طراحی شده‌اند و در شبکه‌های عمومی سطح حمله ایجاد می‌کنند.
  6. احراز هویت دو عاملی را در تمام حساب‌های مهم فعال کنید. حتی اگر مهاجم رمز عبور شما را در وای‌فای عمومی ضبط کند، 2FA از دسترسی بدون عامل دوم جلوگیری می‌کند. به جای SMS از یک برنامه احراز هویت (Google Authenticator، Authy) استفاده کنید. برای دستورالعمل‌های راه‌اندازی راهنمای کامل 2FA ما را ببینید.

چرا VPN در وای‌فای عمومی ضروری است

VPN مؤثرترین ابزار منفرد برای امنیت وای‌فای عمومی است. تمام ترافیک بین دستگاه شما و سرور VPN را با استفاده از AES-256 (یا ChaCha20-Poly1305 با WireGuard) رمزگذاری می‌کند — همان الگوریتم‌هایی که از HTTPS و TLS 1.3 محافظت می‌کنند و بسیار فراتر از هر تهدید brute-force قابل قبولی هستند. این حملات MITM، شنود بسته‌ها و ربایش جلسه را در یک مرحله خنثی می‌کند. VPN‌های مدرن مانند Proton VPN و NordVPN شامل کلیدهای قطع هستند که در صورت قطع شدن اتصال VPN تمام ترافیک اینترنت را مسدود می‌کنند — حتی از قرار گرفتن در معرض لحظه‌ای جلوگیری می‌کنند. ویژگی اتصال خودکار می‌تواند VPN را هر زمان که به یک شبکه نامطمئن می‌پیوندید فعال کند. برای بهترین حفاظت، VPN با پشتیبانی از WireGuard (سریع‌ترین)، سیاست no-logs ممیزی شده و حفاظت در برابر نشت DNS را انتخاب کنید.

  • تمام ترافیک را با AES-256 یا ChaCha20 رمزگذاری می‌کند و داده‌ها را در شبکه‌های مشترک غیرقابل خواندن می‌سازد
  • کلید قطع تمام ترافیک را در صورت قطع شدن VPN مسدود می‌کند و از قرار گرفتن در معرض لحظه‌ای جلوگیری می‌کند
  • اتصال خودکار VPN را هنگام پیوستن به شبکه‌های نامطمئن فعال می‌کند
  • حفاظت در برابر نشت DNS تضمین می‌کند که پرس‌وجوهای DNS در داخل تونل رمزگذاری شده باقی بمانند

افسانه‌های وای‌فای عمومی

„HTTPS وای‌فای عمومی را امن می‌کند"

HTTPS اتصال بین مرورگر شما و یک وب‌سایت خاص را رمزگذاری می‌کند، اما از تمام ترافیک شما محافظت نمی‌کند. پرس‌وجوهای DNS اغلب به صورت رمزگذاری نشده سفر می‌کنند و نشان می‌دهند چه سایت‌هایی را بازدید می‌کنید. سایر برنامه‌های روی دستگاه شما ممکن است از پروتکل‌های رمزگذاری نشده استفاده کنند. HTTPS از دیدن فراداده‌های اتصال یا رهگیری ترافیک از سرویس‌های غیر HTTPS توسط مهاجم جلوگیری نمی‌کند. VPN حفاظت جامعی ارائه می‌دهد که HTTPS به تنهایی نمی‌تواند با آن برابری کند.

„وای‌فای محافظت شده با رمز عبور امن است"

رمز عبور وای‌فای از پیوستن افراد غیرمجاز به شبکه جلوگیری می‌کند، اما همه کسانی که رمز عبور را دارند از همان کلید رمزگذاری استفاده می‌کنند. در شبکه‌های WPA2-Personal (نوع مورد استفاده در بیشتر مکان‌های عمومی)، هر کسی با رمز عبور می‌تواند ترافیک سایر کاربران را رمزگشایی کند. حتی شبکه‌های WPA3، اگرچه بهبود یافته‌اند، به طور کامل از کاربران احراز هویت شده دیگر در همان شبکه محافظت نمی‌کنند. رمز عبور افراد خارجی را بیرون نگه می‌دارد — شما را از افراد داخلی محافظت نمی‌کند.

„هیچ چیز ارزشمندی برای دزدیدن در وای‌فای عمومی ندارم"

ممکن است شماره کارت اعتباری وارد نکنید، اما حملات وای‌فای عمومی بیش از داده‌های مالی را ضبط می‌کنند. اعتبارنامه‌های ایمیل به مهاجمان دسترسی به بازنشانی رمز عبور برای هر حساب مرتبط می‌دهد. ورود به رسانه‌های اجتماعی امکان جعل هویت و مهندسی اجتماعی را فراهم می‌کند. کوکی‌های جلسه دسترسی بدون رمز عبور را امکان‌پذیر می‌کنند. تاریخچه مرور و پرس‌وجوهای DNS علایق شخصی، نگرانی‌های سلامت و دیدگاه‌های سیاسی را آشکار می‌کند. حتی داده‌های به ظاهر بی‌ضرر در صورت تجمیع ارزشمند می‌شوند. هر کسی چیزی برای محافظت دارد.

جمع‌بندی

وای‌فای عمومی ذاتاً ناامن است، اما نباید از آن اجتناب کرد — فقط باید عاقلانه از آن استفاده کرد. VPN مهم‌ترین ابزار منفرد برای امنیت وای‌فای عمومی است: تمام ترافیک شما را رمزگذاری می‌کند و رایج‌ترین حملات را خنثی می‌کند. آن را با آگاهی از HTTPS، اتصال خودکار غیرفعال، 2FA در حساب‌های مهم و بهداشت اساسی شبکه ترکیب کنید، و می‌توانید از هر شبکه وای‌فای با اطمینان استفاده کنید. خطر واقعی خود وای‌فای عمومی نیست — استفاده از آن بدون محافظت است.

سوالات متداول

بله، VPN امنیت وای‌فای عمومی را به طور قابل توجهی افزایش می‌دهد. تمام ترافیک خروجی از دستگاه شما را رمزگذاری می‌کند و از خواندن داده‌های شما توسط دیگران در شبکه جلوگیری می‌کند. با VPN فعال، حملات MITM، شنود بسته‌ها و ربایش جلسه بی‌اثر می‌شوند زیرا مهاجم فقط داده‌های رمزگذاری شده را می‌بیند. برای حداکثر حفاظت، VPN را قبل از اتصال به شبکه عمومی روشن کنید و کلید قطع را فعال نگه دارید تا اگر VPN برای لحظه‌ای قطع شد از نشت جلوگیری شود.

بله، وای‌فای عمومی شما را در معرض چندین بردار حمله قرار می‌دهد. بدون محافظت، مهاجمان در همان شبکه می‌توانند ترافیک رمزگذاری نشده را شنود کنند، اعتبارنامه‌های ورود را ضبط کنند، کوکی‌های جلسه را بدزدند و بدافزار را به دستگاه شما تزریق کنند. خطر در شبکه‌های باز (بدون رمز عبور) بیشترین است، اما حتی شبکه‌های عمومی محافظت شده با رمز عبور نیز آسیب‌پذیر هستند زیرا همه کاربران از یک کلید رمزگذاری مشترک استفاده می‌کنند. استفاده از VPN، به‌روز نگه‌داشتن نرم‌افزار و پیروی از مراحل حفاظتی، خطر را تقریباً به صفر می‌رساند.

اگر VPN ندارید، استفاده از داده موبایل (4G/5G) به طور قابل توجهی امن‌تر از وای‌فای عمومی است. اتصالات سلولی بین تلفن و دکل رمزگذاری شده‌اند و هر کاربر کانال رمزگذاری شده شخصی خود را دارد — بر خلاف وای‌فای مشترک. با این حال، اپراتور تلفن همراه شما همچنان می‌تواند فعالیت مرور شما را ببیند. راه‌حل ایده‌آل استفاده از هر شبکه‌ای (شامل وای‌فای عمومی) با VPN است که رمزگذاری قوی را بدون توجه به نوع اتصال فراهم می‌کند.

بدون VPN، از ورود به ایمیل، بانکداری یا هر حسابی با اطلاعات حساس خودداری کنید. شماره کارت اعتباری، شماره ملی یا داده‌های شخصی دیگر را وارد نکنید. از دسترسی به منابع کاری یا حساب‌های شرکتی پرهیز کنید. فایل دانلود نکنید و درخواست‌های به‌روزرسانی نرم‌افزار را نپذیرید. از سایت‌های HTTP (نه HTTPS) دوری کنید. به طور خلاصه: اگر آن را روی کارت پستال برای خواندن غریبه‌ها نمی‌نوشتید، آن را از طریق وای‌فای عمومی محافظت نشده ارسال نکنید.

حالت پرواز تمام رادیوهای بی‌سیم از جمله وای‌فای را خاموش می‌کند، بنابراین بله — اگر وای‌فای خاموش است، نمی‌توان از طریق وای‌فای به شما حمله کرد. با این حال، در اکثر دستگاه‌ها می‌توانید وای‌فای را در حالت پرواز روشن کنید که این محافظت را خنثی می‌کند. حالت پرواز ابزار امنیتی عملی نیست — تنها شما را از همه چیز قطع می‌کند. VPN راه‌حل بهتری است زیرا به شما اجازه می‌دهد به صورت ایمن متصل بمانید.

شبکه‌های وای‌فای هتل شبکه‌های عمومی با همان خطرات هر وای‌فای عمومی دیگر هستند — فقط احساس امن‌تر بودن دارند زیرا در اتاق خصوصی هستید. شبکه با هر مهمان، عضو کارکنان و هر کسی که رمز عبور را دریافت می‌کند به اشتراک گذاشته می‌شود. برخی هتل‌ها از تجهیزات شبکه قدیمی با آسیب‌پذیری‌های شناخته شده استفاده می‌کنند. مسافران تجاری به طور خاص هدف قرار می‌گیرند زیرا دستگاه‌هایشان اغلب حاوی داده‌های ارزشمند شرکتی است. همیشه در وای‌فای هتل از VPN استفاده کنید و با آن با همان احتیاطی که شبکه کافی‌شاپ یا فرودگاه را برخورد می‌کنید رفتار کنید.