在許多家用無線路由器(Wi-Fi 分享器)的背後或側面,通常都有一個小小的按鈕,標示著「WPS」。你可能看過它,但從未真正使用過,甚至不知道它的用途。這個按鈕代表著 Wi-Fi Protected Setup(Wi-Fi 安全防護設定),它旨在簡化裝置連接到無線網路的步驟。然而,這個為了方便而生的功能,卻也伴隨著不容忽視的資安風險。
WPS按鈕是什麼?
WPS是由Wi-Fi聯盟(Wi-Fi Alliance)於2006年推出的一項無線網路安全標準,旨在幫助不熟悉網路設置的用戶輕鬆將設備連接到Wi-Fi網路。
WPS的主要功能是簡化連線流程,無需輸入複雜的Wi-Fi密碼。透過WPS,用戶只需按下路由器上的WPS按鈕或輸入特定的PIN碼,就能讓設備快速連接到網路。這種設計特別適用於連線智慧電視、印表機、遊戲主機等不方便輸入密碼的設備。
WPS提供兩種主要的連線方式:
按鈕配置(Push-Button Configuration, PBC):用戶按下路由器上的WPS按鈕,隨後在設備上啟動WPS功能,兩者在短時間內(通常為2分鐘)自動完成配對與連線。
PIN碼方式:路由器或設備上提供一個8位數的PIN碼,用戶在設備或路由器設置頁面輸入此碼以完成連線。
根據Wi-Fi聯盟的數據,WPS的推出顯著提高了家庭Wi-Fi網路的安全性,在其問世之前,超過70%的家庭網路未使用任何加密保護。然而,隨著網路安全威脅的演進,WPS的設計缺陷也逐漸暴露。
WPS的便利性與應用場景
WPS按鈕的最大優勢在於其簡單與快速。對於不熟悉網路設置的用戶來說,手動輸入由字母、數字和符號組成的長密碼可能是一項挑戰。WPS讓這一過程變得輕鬆,特別是在以下場景中:
快速連線新設備:例如,將新購買的智慧電視或無線印表機連接到Wi-Fi網路,只需按下WPS按鈕即可完成設置。
訪客網路存取:當朋友或訪客需要使用Wi-Fi時,WPS提供了一個便捷的方式,讓他們無需知道主網路密碼。
多設備管理:在需要同時連線多個設備時,WPS可以大幅縮短設置時間。
根據2022年Vanson Bourne的一項調查,平均每個家庭有超過10個設備連接到Wi-Fi網路,WPS的快速配對功能在這樣的環境中顯得尤為實用。
隱藏的風險:WPS的安全漏洞
儘管WPS提供了便利,但其安全問題也引起了廣泛關注。早在2011年,安全研究人員Stefan Viehböck和Craig Heffner獨立發現了WPS的重大漏洞,這些漏洞使得WPS成為駭客攻擊的潛在目標。以下是WPS的主要安全風險:
PIN碼的暴力破解風險: WPS的PIN碼方式使用8位數字,表面上看似有100,000,000(10^8)種組合,但實際上PIN碼被分成兩個4位數部分進行驗證,第一部分有10,000種可能,第二部分有1,000種可能,總共僅需11,000次嘗試即可破解。駭客使用如「Reaver」等工具,能在數小時內透過暴力破解取得WPS PIN碼,進而獲取網路的WPA/WPA2密碼。
按鈕模式的物理存取風險: 雖然按鈕模式(PBC)相對安全,因為它要求實體存取路由器並在短時間內完成連線,但這也意味著任何能接觸到路由器的人(如訪客或未經授權的人員)都可以輕鬆連接到網路。對於家庭或小型辦公室來說,這可能導致未授權設備存取網路。
路由器實作的缺陷: 許多路由器製造商在WPS的實作上存在問題。例如,某些路由器即使在設置中顯示已停用WPS,實際上仍可能保持啟用狀態。此外,部分路由器在多次PIN碼輸入錯誤後不會自動鎖定,給予駭客無限次嘗試的機會。
不支援現代設備: 由於安全問題,部分現代設備和作業系統已放棄WPS支援。例如,Google自Android 9起移除WPS功能,Apple的macOS和iOS設備也從未支援WPS,認為其安全性不足。
根據2022年Ekran System對滲透測試人員的調查,47%的測試者在12小時內成功破解了WPS安全設置,顯示其脆弱性不容忽視。
如何安全使用WPS?
為了平衡WPS的便利性與安全性,用戶可以採取以下措施:
在不使用時停用WPS:完成設備連線後,立即透過路由器管理介面(通常在192.168.1.1或192.168.0.1)關閉WPS功能。步驟通常為:登入路由器管理頁面,前往「無線設置」或「WPS」選項,選擇「關閉」或「停用」。
優先使用按鈕模式:按鈕模式比PIN碼方式更安全,因為它要求實體存取路由器,且連線窗口僅持續2分鐘。
更新路由器韌體:定期檢查並更新路由器韌體,以修補已知的WPS漏洞。許多製造商已透過韌體更新新增錯誤嘗試鎖定功能,限制暴力破解的可能性。
限制路由器實體存取:將路由器放置在安全的物理位置,防止未授權人員觸碰WPS按鈕。
考慮禁用WPS的路由器:如果安全性是首要考量,可選擇不支援WPS的路由器,或使用Wi-Fi Easy Connect等更安全的替代方案(如掃描QR碼進行連線)。
延伸閱讀:別把SSD當HDD用!實測顯示長時間未做「這件事」恐導致資料損毀、性能衰退
信用卡盜刷怎麼防?「卡片安全鎖」一鍵關閉海外交易:4銀行設定教學一次看
本文授權轉載自:T客邦
