調(diào)查發(fā)現(xiàn),在檢測(cè)到的2652個(gè)企業(yè)WiFi網(wǎng)絡(luò)中,45.3%企業(yè)WiFi網(wǎng)絡(luò)密碼被公開分享,WiFi密碼被不當(dāng)分享的問題,已經(jīng)成為了企業(yè) WiFi網(wǎng)絡(luò)所面臨的最為首要的安全性問題。為此,專家建議加強(qiáng)監(jiān)管第三方WiFi分享工具,加強(qiáng)對(duì)企業(yè)WiFi密碼收錄審核。這是記者從360互聯(lián)網(wǎng)安全中心近日發(fā)布的《2015年企業(yè)WiFi網(wǎng)絡(luò)安全性測(cè)試研究報(bào)告》 (以下簡稱《報(bào)告》) 中獲悉的。
非企業(yè)WiFi密碼被分享率遠(yuǎn)低于企業(yè)
WiFi網(wǎng)絡(luò)正在成為企業(yè)移動(dòng)化辦公的重要基礎(chǔ)設(shè)施,但由于普遍缺乏有效的管理,WiFi網(wǎng)絡(luò)也在越來越多的成為黑客入侵企業(yè)內(nèi)網(wǎng)系統(tǒng)的突破口。
為了能夠?qū)嵉亓私猱?dāng)前企業(yè)WiFi網(wǎng)絡(luò)的安全性,2015年6月,360互聯(lián)網(wǎng)安全中心派出了一支無線環(huán)境監(jiān)測(cè)小組,在北京市區(qū)的8個(gè)人口和辦公密集區(qū)進(jìn)行了WiFi網(wǎng)絡(luò)的實(shí)地檢測(cè),共檢測(cè)發(fā)現(xiàn)有效的WiFi網(wǎng)絡(luò)78603個(gè),其中,能確定為企業(yè)WiFi的網(wǎng)絡(luò)為2652個(gè),占所有WiFi網(wǎng)絡(luò)的3.4%。“由于不能排除我們篩選出的制造商不全,以及企業(yè)用戶使用一般的民用路由器搭設(shè)WiFi網(wǎng)絡(luò)的可能性,因此,企業(yè)WiFi網(wǎng)絡(luò)的實(shí)際比例還要更高。”360互聯(lián)網(wǎng)安全中心安全專家透露。
通過使用第三方WiFi分享工具進(jìn)行測(cè)試的結(jié)果顯示,在檢測(cè)到的2652個(gè)企業(yè)WiFi網(wǎng)絡(luò)中,共有1201個(gè)企業(yè)WiFi網(wǎng)絡(luò)的密碼已經(jīng)被分享,占到所有檢測(cè)到的企業(yè)WiFi網(wǎng)絡(luò)的45.3%,并且這些企業(yè)WiFi網(wǎng)絡(luò)確實(shí)可以用分享工具提供的密碼進(jìn)行登陸,也就是說被分享出來的企業(yè)WiFi密碼是有效的??梢钥闯觯M管相比于非企業(yè)WiFi來說,企業(yè)WiFi網(wǎng)絡(luò)的絕對(duì)數(shù)量并不多,但密碼被公開分享的比例卻很高。
特別值得注意的是,在本次測(cè)試研究中,360互聯(lián)網(wǎng)安全中心安全專家發(fā)現(xiàn),對(duì)于非企業(yè)WiFi(沒有使用企業(yè)級(jí)路由設(shè)備的WiFi網(wǎng)絡(luò))來說,密碼被公開分享的比例僅為19.1%,遠(yuǎn)遠(yuǎn)低于企業(yè)WiFi密碼被分享的比例。
九成以上企業(yè)WiFi網(wǎng)絡(luò)環(huán)境令人擔(dān)憂
調(diào)查組分別從密碼構(gòu)成、密碼長度和密碼流行度三個(gè)方面分析企業(yè)WiFi密碼的強(qiáng)度。密碼強(qiáng)度過低,意味著攻擊者比較容易通過撞庫和暴力破解的方式入侵WiFi網(wǎng)絡(luò)。一般來說,由數(shù)字+字母+特殊符號(hào)組成的,15位以上的非常見密碼比較安全。
從密碼構(gòu)成來看,90.2%的企業(yè)WiFi密碼為不安全的純數(shù)字密碼,只有9.8%的企業(yè)WiFi使用了“數(shù)字+字母”或“數(shù)字+字母+特殊符號(hào)”的組合密碼。從密碼長度來看,87.1%的企業(yè)WiFi密碼長度小于等于8位,僅有12.9%的企業(yè)WiFi的密碼大于8位。
從密碼流行度來看,即便使用了“數(shù)字+字母”的密碼,密碼長度也在8位以上,但如果使用的恰好是流行密碼,那么也很容易被攻擊者破解的,因?yàn)樵诰W(wǎng)上找到一些流行密碼的排行榜并不十分困難。調(diào)查組使用了2015年流行密碼的Top20與企業(yè)WiFi密碼進(jìn)行比對(duì),結(jié)果發(fā)現(xiàn),命中流行密碼Top20的企業(yè)WiFi密碼數(shù)量占比竟然高達(dá)84.6%。
360互聯(lián)網(wǎng)安全中心安全專家認(rèn)為,這表明,八成以上企業(yè)的網(wǎng)絡(luò)管理員嚴(yán)重缺乏基本的安全意識(shí),使用了非常不安全的流行密碼作為WiFi網(wǎng)絡(luò)密碼。攻擊者想要入侵這樣的WiFi網(wǎng)絡(luò),可以說是易如反掌。企業(yè)WiFi網(wǎng)絡(luò)的密碼設(shè)置普遍存在密碼太短、密碼構(gòu)成簡單、密碼為流行密碼及密碼早已被第三方WiFi分享工具分享的現(xiàn)象。這些情況導(dǎo)致了九成以上的企業(yè)WiFi網(wǎng)絡(luò)環(huán)境處于非常不安全的狀態(tài),令人擔(dān)憂。
企業(yè)WiFi網(wǎng)絡(luò)主要面臨四大類安全隱患
報(bào)告指出,大量企業(yè)的WiFi網(wǎng)絡(luò)存在密碼被分享或使用弱密碼的的情況,從而極易造成WiFi密碼的泄漏。事實(shí)上,企業(yè)WiFi密碼的泄漏還有很多其他的原因,而且除了密碼泄漏之外,企業(yè)的WiFi網(wǎng)絡(luò)還面臨著釣魚WiFi、私搭亂建和設(shè)備漏洞等多重安全風(fēng)險(xiǎn)。其中,企業(yè)WiFi密碼泄漏的主要原因包括: WiFi密碼被不當(dāng)分享、WiFi密碼使用弱口令、WiFi密碼加密方式不安全、無線DDoS攻擊。
以WiFi密碼被不當(dāng)分享為例,密碼設(shè)置的再復(fù)雜,只要有人將密碼進(jìn)行了公開分享,事實(shí)上密碼也就泄漏了,而且可以被任何人使用。客觀的說,企業(yè)WiFi密碼被不當(dāng)分享的問題,給企業(yè)造成的損害要比任何WiFi攻擊技術(shù)都要大得多。
“因?yàn)椴徽撌褂檬裁礃拥腤iFi攻擊技術(shù),包括暴力破解,都必須要靠近目標(biāo)WiFi的覆蓋區(qū)域才能實(shí)施,而且還必須使用破解軟件或破解工具,一個(gè)一個(gè)的進(jìn)行嘗試。但通過第三方WiFi分享工具,攻擊者幾乎可以0成本的同時(shí)獲取大量企業(yè)的WiFi密碼,其危險(xiǎn)性可想而知。”360互聯(lián)網(wǎng)安全中心安全專家分析說。
相對(duì)而言,企業(yè)WiFi的密碼被“意外的”分享到第三方WiFi分享平臺(tái)上的幾率要遠(yuǎn)遠(yuǎn)大于個(gè)人或家用WiFi的密碼。此外,人們對(duì)于個(gè)人家中WiFi密碼的保護(hù)意識(shí)也往往會(huì)明顯強(qiáng)于企業(yè)的公用WiFi的密碼。這也就是解釋了為什么企業(yè)WiF密碼被分享的比例(45.3%)會(huì)遠(yuǎn)遠(yuǎn)大于非企業(yè)WiFi密碼(19.1%)。
如何解決企業(yè)的WiFi密碼被第三方平臺(tái)分享所帶來的安全問題?360互聯(lián)網(wǎng)安全中心安全專家建議企業(yè)一般可以采取經(jīng)常變換WiFi密碼,或使用動(dòng)態(tài)變化的WiFi密碼;對(duì)登陸設(shè)備進(jìn)行身份驗(yàn)證或IP管理。
報(bào)告同時(shí)指出,不論是上述那種解決辦法,都會(huì)增加企業(yè)的運(yùn)維成本和管理難度,而且也不太可能在短時(shí)間內(nèi)得到有效的推廣。所以,對(duì)第三方WiFi分享工具加強(qiáng)監(jiān)管,加強(qiáng)對(duì)企業(yè)WiFi密碼收錄的審核措施,在現(xiàn)階段來說,仍然是維護(hù)企業(yè)內(nèi)WiFi網(wǎng)絡(luò)安全的重要手段。