公共WiFi安全的生死线：为什么每次连接都要用VPN

去年有个朋友的经历让我印象深刻。他在星巴克连了公共WiFi查了一下银行余额，三天后卡被盗刷了三万。银行查了半天，问题出在那天他用了一个叫"Starbucks_Free_WiFi"的假热点——不是星巴克的，是旁边一个人用手机开的。

这不是高科技犯罪。一个三百块的设备、一套网上随便下载的软件、加上一个听起来可信的WiFi名字——任何人坐在你十米之内都能搭一个陷阱。

公共WiFi到底有多危险

我们先搞清楚攻击者能做什么。公共WiFi上的攻击主要分这几种：

中间人攻击（MITM）

这是最常见也最危险的。攻击者把自己放在你和路由器之间，你发出的所有数据都先经过他，再转发给路由器。路由器回复的数据也先经过他，再转发给你。你在中间完全感觉不到任何异常，但你的聊天记录、密码、验证码、邮件内容——他全部能看到。

工具成本：一台笔记本电脑 + 一套开源工具（Bettercap或者Ettercap）。从零开始学到能实操，大概一个下午。

伪造热点（Evil Twin）

攻击者创建一个和正规WiFi名字一模一样或者极其相似的热点。比如说你在酒店，正规WiFi叫"Marriott_Guest"，攻击者开一个"Marriott_Guest_5G"或者"Marriott_Free"。你连上去之后，网络能用——因为攻击者同时也在转发你的流量到真正的互联网。能用不代表安全。

更高级的做法是：攻击者先对你的设备发动Deauth攻击，把你从正规WiFi上踢下去。你的手机发现WiFi断了，自动扫描并连接信号最强的同名热点——恰好就是攻击者的伪造热点。

数据嗅探（Packet Sniffing）

WiFi信号是在空气中广播的，和收音机一个道理。在没有加密的公共WiFi上，同一个网络里的任何人都能用工具抓取所有设备传输的数据包。

如果你访问的网站用的是HTTP而不是HTTPS，那传输的内容就是明文。即使你用的是HTTPS，攻击者仍然能看到你访问了哪些网站（域名是明文的），从而推断出你的行为模式。

会话劫持（Session Hijacking）

你登录了一个网站，网站给了你一个"会话Cookie"——相当于一个临时通行证。只要你带着这个Cookie，网站就认为你是合法登录用户。攻击者截获这个Cookie后，就能冒充你的身份登录网站，不需要知道你的密码。

这就是为什么有人在咖啡馆连了WiFi之后，微博突然自动发了一堆广告——不是密码被破解了，是Cookie被劫持了。

HTTPS就够了吗？不够

很多人觉得现在大部分网站都是HTTPS了，公共WiFi应该安全了吧。这个想法太乐观了。

第一，HTTPS只加密内容，不隐藏元数据。攻击者虽然看不到你发的内容，但能看到你在访问什么网站、访问了多久、传输了多少数据。

第二，HTTPS可以被降级攻击。攻击者拦截你的HTTPS请求，重定向到HTTP版本——很多用户根本注意不到地址栏前面是锁还是感叹号。

第三，不是所有App都正确实现了HTTPS。很多小公司的App在开发的时候偷懒，证书验证不严格，MITM攻击轻松绕过。

VPN为什么是公共WiFi的必需品

VPN解决的问题很直接：在你的设备和VPN服务器之间建立一条完全加密的隧道。即使攻击者控制了整个WiFi网络，他只能看到一堆加密的数据包，看不到内容、看不到目标地址、什么都看不到。

这个加密是端到端的——从你的设备到VPN服务器，全程AES-256加密。以目前的计算能力，破解AES-256需要的时间比宇宙的年龄还长。攻击者唯一能知道的信息是"这个设备连了VPN"，仅此而已。

闪连VPN用的是AES-256-GCM加密标准，这个加密级别和银行转账是一个级别。我在咖啡馆出差必开，已经成肌肉记忆了。

免费的才是最贵的

公共WiFi免费，但如果你在上面裸奔，代价可能是银行账户、社交账号、工作邮箱——这些加起来值多少钱？

一个靠谱的VPN一个月的费用大概是一杯咖啡的钱。一杯咖啡换一个月的公共WiFi安全，这个账不需要多算。

不只是WiFi，这些场景也要开VPN

• 酒店有线网络：别以为有线就安全，酒店的网络拓扑通常极其扁平，同一个楼层所有房间在同一个子网里
• 机场/火车站WiFi：人流密集，攻击者最集中的地方
• 共享办公空间：所有人都连同一个网络，你隔壁的"创业者"可能就是黑客
• 任何需要输入个人信息的场景：订酒店、买机票、登录网银——这些操作永远在VPN下进行

公共WiFi上开VPN不是多此一举，是基本操作。就像你出门锁门一样——不是因为你确定今天有小偷，而是因为这是最低成本的保险。