這種情況大家都看過:剛到一份新工作,或是到某間辦公室拜訪客戶時,結果看到共用的無線密碼被寫在每一塊白板上。就算沒有到處白紙黑字寫下來,大概也不難猜——試試公司名稱後面加上 123,或把 E 替換成 3。
即使是那些使用難以猜測的無線網路密碼的公司,當有人離職時上次是否有輪換密碼的機率也很低。畢竟,這會大幅影響生產力。
這顯然不是良好的密碼使用習慣;共用的(而且可能很容易被猜到的)密碼若又鮮少更換,根本談不上安全。
但這真的重要嗎?
答案和幾乎所有事情一樣,都是「要看情況」。在某些情境下,遭到入侵的無線網路確實會對生產系統構成威脅;但也有些情境中,(透過審慎的設計)辦公室網路根本不需要密碼。
然而,對大多數企業而言,網路安全至關重要,而不安全的密碼可能會造成重大漏洞。
共用無線網路密碼有什麼問題?
共用無線網路密碼會帶來幾項重大風險。共用密碼會提高攻擊者發現密碼並存取企業 LAN 的可能性。
雖然愈來愈少企業會在公司 LAN 上維護機密資源,但辦公室仍然是員工集中的場所,而員工可能已在自己的筆記型電腦上放寬檔案分享或防火牆服務的設定。有些公司會保留本機網路附加儲存裝置(NAS)作為備份。即使駭客無法存取機密資源,攻擊者仍然可以在辦公室的列表機上列印「pwn3d」,直到紙張用完為止。
在最有可能發生的情況下,攻擊者可能會透過辦公室的公用 IP 位址傳送流量,藉此利用被授予的較高存取權限。許多公司會根據辦公室的 IP 位址將正式環境伺服器與資源的存取列入允許清單,或針對來自辦公室 IP 位址的流量免除多重要素驗證。在這些情況下,攻擊者可能從停車場就找到路徑來攻擊敏感資料,而且很可能不會被察覺。
從辦公室到伺服器的白名單 SSH 存取風險相對較低,但最嚴重的漏洞之一,是將正式環境服務的「admin」網頁介面設為僅辦公室白名單可存取。管理員網頁介面通常在安全性修補的優先順序清單上排得很後面,因為它們「只是供內部使用」。但執行已知漏洞程式碼的管理介面,很容易成為攻擊目標,進而危及整個正式環境資料庫。
心懷不滿的前員工也可能帶來另一種風險。企業在這方面尤其脆弱,因為這類員工具備貴公司及其架構的特定知識。他們甚至不必進入大樓,就仍然可以存取您的網路,並利用這些資訊攻擊已知的弱點。
什麼情況下可以共用密碼,或是不設密碼?
沒有密碼的無線網路對訪客網路來說會很實用。訪客網路不應使用與員工網路相同的公用 IP 位址,而且這些網路也應設有嚴格的頻寬限制。資料不會被加密,但由於許多流量都是透過 SSL 傳輸,因此這已不像過去那樣令人擔憂。
對辦公室而言,如果每次有員工離職時都更換密碼,使用共用密碼也可以。為求謹慎,建議將本機裝置數量設為零,且不要在任何地方將該 IP 加入白名單。任何要存取正式環境資源的人員,都應使用員工認證(別忘了多重要素驗證!)及/或透過 VPN 存取�這些資源。
如何改用不共用的無線網路密碼?
無線安全性的下一步,是改用要求使用者名稱和密碼的登入系統。
每個主流作業系統都內建支援這項功能。這表示,當電腦嘗試使用 WPA2-Enterprise 登入網路時,系統不會要求輸入該網路的共用密碼(也就是您現在已經很熟悉的那種),而是會跳出一個對話方塊,要求輸入員工專屬的使用者名稱和密碼。在後端,存取點會將該名稱和密碼傳送給 RADIUS 伺服器;如果名稱和密碼有效,伺服器會回傳「yes」,否則會回傳「no」。
因此,組織可以維持網路安全並封鎖未經授權的使用者,同時員工也能以前所未有的輕鬆方式登入並連接。
這需要 RADIUS 伺服器。如果沒有,您可以使用雲端提供的 RADIUS 服務(例如 Foxpass),根據內部資料庫或外部來源(例如 Google Apps 帳戶)來驗證使用者名稱和密碼。
當您需要安全的網路存取與資安防護時,Foxpass 是理想選擇,為各種規模的企業提供雲端 RADIUS 和存取控制。Foxpass 提供免費 30 天試用,且設定流程非常簡單,因此沒有理由不在今天就啟用這項防護。我們也為使用者少於 10 人的組織提供免費方案!
Wi-Fi 是 Wi-Fi Alliance® 的商標
