◆ 十年始終只有入門級監(jiān)管

　　“很難說在國內哪種類型的免費Wi-Fi會更安全。”據了解，目前市場上可連接的Wi-Fi大體可分為由運營商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運營商提供的Wi-Fi平臺，以及各類虛假免費Wi-Fi。如此多的種類，如何界定安全與否?很可惜，到目前為止，無論是官方還是非官方，都無法給出一個切實有效的方案。

　　到目前為止，行業(yè)內唯一可遵循的規(guī)則是自2006年3月1日起施行的《互聯(lián)網安全保護技術措施規(guī)定》，在業(yè)內被稱為“第82號令”，從10年前頒布一直延用至今，其根本要求是用戶可溯源。

　　“一般情況，我們對正規(guī)Wi-Fi渠道最簡單的鑒定就是看其是否需要用戶輸入賬戶和密碼，是否需要進行認證登錄，關鍵的動作是用戶輸入動態(tài)的短信驗證碼，這就是認證的過程。”一位業(yè)內人士透露，驗證機制是目前國家安全部門對Wi-Fi安全的主要要求。當用戶輸入驗證碼之后，Wi-Fi提供商的后臺即生成相應的認證號、留下了用戶資料，從而完成對用戶識別。

　　這套機制對Wi-Fi登錄前的安全保障負責，“動態(tài)密碼作為接入校驗，多了一個認證因子，對判斷虛假Wi-Fi和運營商防止黑客破解Wi-Fi接入是有意義的。”在Wi-Fi安全獨立研究員營智敏看來，到目前為止，虛假Wi-Fi的制作者是無法提供這樣一個校驗碼的，“最起碼他們買不了和運營商一致的短信接口，也無法形成相似的聯(lián)動機制，另一方面，他們也無法攻擊網頁登錄界面去獲得動態(tài)密碼，因此，在這條界限內，攻擊者被暫時攔在了門外。”不過他也提出，這種安全也只在沒有“偽基站”的前提下成立。

　　犯罪分子的手段在不斷升級，而防御管理者卻始終在入門級的安全水平徘徊。“Wi-Fi安全分為沒有鏈接之前的誘騙、誘導攻擊和鏈接之后的中間人攻擊。” 在業(yè)內人士看來，Wi-Fi犯罪成本低，犯罪技術手段正在不斷成熟，對于地下黑客而言，早就形成了一條龐大的利益鏈條。而最初的入門防御，其實很難阻擋他們犯罪的腳步。

　　林先生在Wi-Fi行業(yè)工作多年，他告訴筆者，目前的這套驗證機制就好比是在一幢大樓的門口裝了一個攝像頭，能記錄下每一個進出的人，但是進去之后這些人做了什么，就無從追蹤了。而驗證碼就好比這個攝像頭，無法記錄登錄Wi-Fi后，人們都干了什么。因此如何防御進入網內的攻擊，目前，官方的法律規(guī)范幾乎是空白。

　　而缺乏有關規(guī)范條例的約束，業(yè)內各方只能“跟著感覺”來把控安全。

　　◆ 用戶信息密碼竟然明文傳輸

　　目前，Wi-Fi使用的現(xiàn)狀是，公共Wi-Fi普及率低，商用Wi-Fi發(fā)展速度快，但安全級別無法考證。業(yè)內觀察人士對此評價，商用Wi-Fi更在意Wi-Fi所能帶來的商業(yè)價值，而非安全本身。

　　安全向利益妥協(xié)，這并不是戲言。“目前，國內大部分商用Wi-Fi運營商都處于起步階段，要求他們做到成熟的安全防御本來就不現(xiàn)實。”據一位知情人士透露，盡管不少商用Wi-Fi也配備了驗證碼機制，但其目的并非是用戶認證，而是為了截取用戶的手機號碼等個人信息。而個人信息的大量聚攏本身就能產生無形的商業(yè)價值。

　　“安全加密通道”，對于國內大部分Wi-Fi用戶而言，是頗為陌生的專用詞，也正是因為如此，大量的廠商和Wi-Fi運營商才有空間做到對于這種更安全的技術手段“視而不見”。

　　事實上，安全加密通道是保障Wi-Fi安全的重要手段。在國內Wi-Fi作為可以傳遞的信息通道，用戶完全有權要求選擇自己在Wi-Fi上流通的內容是否通過加密傳輸。但到目前為止，除了部分銀行采取了以安全專線的技術方法為某類型的業(yè)務提供加密傳輸外，普通大眾的日常Wi-Fi使用，都并不具備如此“待遇”。

　　“現(xiàn)有Wi-Fi網絡可以使用加密通道傳輸，但這是附加性功能，非Wi-Fi本身自帶的技術功能。”在營智敏看來，在沒有用戶主動提出要求的情況下，廠商和Wi-Fi運營商自然是不會主動添加類似的非盈利業(yè)務。據一家在Wi-Fi中加入了基礎雙層加密技術的企業(yè)透露，該公司在安全支出的成本幾乎占到1/3，其中加密技術涉及到技術的復雜性，比普通防御技術的成本高20%。

　　無論是公共還是商用Wi-Fi，一旦加載了加密傳輸技術，用戶可以在不同通道間擁有選擇權，而選擇加密通道，也就意味著通過的明文信息就將被隔離和保護，處于高度保護狀態(tài)。這對于黑客破解難度發(fā)起挑戰(zhàn)。

　　但由于這項技術所涉及到的復雜性和建設成本都偏高，因此，行業(yè)內提供加密通道的企業(yè)少之又少。同時，政府或管理部門也并未對此做出任何強制規(guī)范。