咖啡廳、機場、飯店和圖書館的免費 Wi-Fi 既方便——卻也真的危險。公共網路本質上不安全:它們與陌生人共享,通常缺乏加密,並讓攻擊者輕鬆存取以監控或攔截您的流量。產業調查不斷發現,大約四分之一的公共 Wi-Fi 熱點根本不使用任何加密,即使是加密的公共網路也會與每位連線的使用者共享密碼。本指南涵蓋公共 Wi-Fi 的真實風險、您易受攻擊的具體攻擊類型,以及保護自己的實用步驟——包括為什麼 VPN 是唯一最有效的防禦。
公共 Wi-Fi 風險
中間人(MITM)攻擊
在 MITM 攻擊中,攻擊者將自己置於您的裝置和 Wi-Fi 存取點之間,攔截在它們之間流動的所有流量。在未加密的網路上,他們可以閱讀電子郵件、擷取登入憑證、查看金融交易,並即時修改網頁內容。即使在 HTTPS 網站上,使用 SSLstrip 等工具的複雜 MITM 攻擊也能降級連線。VPN 讓 MITM 攻擊失效,因為您所有的流量在離開裝置前都已加密。
邪惡雙生子(Evil Twin)攻擊
攻擊者建立一個與合法名稱相同的假 Wi-Fi 熱點——「Starbucks_WiFi」或「Airport_Free」——並等待裝置自動連線。一旦連線,您所有的流量都會經由攻擊者的裝置路由,讓他們完全看見您線上所做的一切。如果您之前曾連接過同名的網路,您的手機可能會自動連接到邪惡雙生子。使用網路上免費可得的工具,執行這些攻擊非常容易。
封包嗅探
在開放(未加密)的 Wi-Fi 網路上,任何擁有 Wireshark 等免費工具的人都可以擷取並讀取所有網路流量。這包括未加密的 HTTP 請求、電子郵件內容、FTP 憑證,以及顯示您正在訪問哪些網站的 DNS 查詢。雖然 HTTPS 保護安全連線的內容,封包嗅探仍會暴露元資料——您訪問哪些網域、何時以及頻率。VPN 加密所有封包,讓嗅探到的資料完全無法閱讀。
工作階段劫持(Sidejacking)
當您登入網站後,您的瀏覽器會儲存一個讓您保持身分驗證的工作階段 Cookie。在公共 Wi-Fi 上,攻擊者可以透過封包嗅探擷取此 Cookie,並使用它冒充您——存取您的電子郵件、社群媒體或其他帳戶,無需您的密碼。雖然 HTTPS Cookie 在傳輸中受到保護,但並非所有網站都正確地將 Cookie 標記為僅安全。在攻擊者擁有 MITM 位置的網路上,工作階段劫持特別有效。
惡意軟體散布
同一公共網路上的攻擊者可以利用檔案共享協定中的漏洞、向未加密的網頁注入惡意內容,或發送假的軟體更新提示。如果您的裝置啟用了檔案共享或 AirDrop,攻擊者可以直接推送惡意檔案。一些進階攻擊使用被入侵的路由器來注入 JavaScript 挖礦程式或將下載重新導向至含惡意軟體的版本。請保持您的作業系統和應用程式更新、在公共網路上停用檔案共享,並且絕不接受意外的檔案傳輸請求。
如何保護自己
如果採取正確的預防措施,公共 Wi-Fi 不必是危險的。這六個步驟能在任何開放網路上顯著降低您的風險:
- 使用 VPN——這是最有效的單一步驟。VPN 加密所有離開您裝置的流量,使其對網路上的任何人都無法閱讀。即使攻擊者擷取您的封包,他們也只能看到加密的資料。在連接 Wi-Fi 網路之前啟用您的 VPN,並使用終止開關功能在 VPN 斷線時阻擋流量。Proton VPN 和 NordVPN 都為不受信任的網路提供自動連接選項。
- 在每個網站上驗證 HTTPS——在瀏覽器網址列中尋找掛鎖圖示。永遠不要在 HTTP(非 HTTPS)網站上輸入密碼、付款資訊或個人資料。考慮安裝 HTTPS Everywhere 擴充功能或啟用瀏覽器的僅 HTTPS 模式。HTTPS 加密您的瀏覽器和網站之間的連線,但 VPN 提供涵蓋所有應用程式的更廣泛保護。
- 停用自動連接 Wi-Fi 網路功能於您的裝置設定中。這會防止您的手機或筆電自動加入先前已知的網路名稱——它們可能是邪惡雙生子網路。在 iOS 上,前往「設定」>「Wi-Fi」並停用公共網路的自動加入。在 Android 上,前往「設定」>「網路」>「Wi-Fi 偏好設定」並停用自動重新連線。
- 使用後忘記公共 Wi-Fi 網路。您的裝置會記住您連接過的網路,並在範圍內時自動重新連線。前往您儲存的網路清單,移除任何公共熱點——咖啡廳、機場、飯店。這會防止您的裝置連接到您沒有明確選擇的網路。
- 啟用您作業系統的防火牆並停用檔案共享。在 macOS 上,前往「系統設定」>「網路」>「防火牆」並啟用它。在 Windows 上,確保 Windows Defender Firewall 處於啟用狀態。在公共網路上時,停用 AirDrop、Nearby Sharing 以及任何網路探索功能。這些功能是為可信任的網路設計的,在公共網路上會建立攻擊面。
- 在所有重要帳戶上啟用雙因素驗證。即使攻擊者在公共 Wi-Fi 上擷取了您的密碼,2FA 也能防止他們在沒有第二個因素的情況下存取您的帳戶。請使用驗證應用程式(Google Authenticator、Authy)而不是 SMS。請參閱我們完整的 2FA 指南以取得設定說明。
為什麼 VPN 在公共 Wi-Fi 上至關重要
VPN 是公共 Wi-Fi 安全的唯一最有效工具。它使用 AES-256(或搭配 WireGuard 的 ChaCha20-Poly1305)加密您裝置和 VPN 伺服器之間的所有流量——與保護 HTTPS 和 TLS 1.3 相同的演算法,遠超任何可信的暴力破解威脅。這在一個步驟中中和了 MITM 攻擊、封包嗅探和工作階段劫持。Proton VPN 和 NordVPN 等現代 VPN 包含終止開關,若 VPN 連線中斷會阻擋所有網際網路流量——甚至防止短暫的暴露。自動連接功能可以在您加入不受信任的網路時啟用您的 VPN。為了最佳保護,請選擇支援 WireGuard(最快)、經過稽核的無紀錄政策以及 DNS 洩漏保護的 VPN。
- 使用 AES-256 或 ChaCha20 加密所有流量,使共享網路上的資料無法閱讀
- 若 VPN 中斷,終止開關會阻擋所有流量,防止短暫的暴露
- 加入不受信任的網路時,自動連接會啟用 VPN
- DNS 洩漏保護確保 DNS 查詢保留在加密的隧道內
公共 Wi-Fi 迷思
「HTTPS 讓公共 Wi-Fi 變安全」
HTTPS 加密您的瀏覽器和特定網站之間的連線,但它並不保護您所有的流量。DNS 查詢通常未加密傳輸,顯示您訪問哪些網站。您裝置上的其他應用程式可能使用未加密的協定。HTTPS 不能防止攻擊者看到您的連線元資料或攔截來自非 HTTPS 服務的流量。VPN 提供 HTTPS 單獨無法相比的全面保護。
「密碼保護的 Wi-Fi 是安全的」
Wi-Fi 密碼可以防止未經授權的人加入網路,但每個擁有密碼的人都共享同一個加密金鑰。在 WPA2-Personal 網路上(大多數公共場所使用的類型),任何擁有密碼的人都可以解密其他使用者的流量。即使是改進過的 WPA3 網路,也無法完全防範同網路上其他已驗證的使用者。密碼只能讓外人在外面——它不能保護您免受內部人員的侵害。
「我在公共 Wi-Fi 上沒有什麼值得被盜的東西」
您可能沒有輸入信用卡號,但公共 Wi-Fi 攻擊擷取的遠不止財務資料。電子郵件憑證讓攻擊者可以重設每個連結帳戶的密碼。社群媒體登入啟用冒充和社交工程。工作階段 Cookie 允許在沒有密碼的情況下存取。瀏覽歷史和 DNS 查詢揭露個人興趣、健康問題和政治觀點。即使是看似無害的資料,在彙整後也會變得有價值。每個人都有值得保護的東西。
結論
公共 Wi-Fi 本質上不安全,但不必避免它——只需要明智地使用它。VPN 是公共 Wi-Fi 安全的唯一最重要工具,加密您所有的流量並中和最常見的攻擊。將它與 HTTPS 意識、停用的自動連接、重要帳戶上的 2FA 以及基本的網路衛生結合,您就能自信地使用任何 Wi-Fi 網路。真正的危險不是公共 Wi-Fi 本身——而是在沒有保護的情況下使用它。