调查发现45.3%企业WiFi网络密码被分享

　　调查发现，在检测到的2652个企业WiFi网络中，45.3%企业WiFi网络密码被公开分享，WiFi密码被不当分享的问题，已经成为了企业 WiFi网络所面临的最为首要的安全性问题。为此，专家建议加强监管第三方WiFi分享工具，加强对企业WiFi密码收录审核。这是记者从360互联网安全中心近日发布的《2015年企业WiFi网络安全性测试研究报告》 (以下简称《报告》) 中获悉的。

　　非企业WiFi密码被分享率远低于企业

　　WiFi网络正在成为企业移动化办公的重要基础设施，但由于普遍缺乏有效的管理，WiFi网络也在越来越多的成为黑客入侵企业内网系统的突破口。

　　为了能够实地了解当前企业WiFi网络的安全性，2015年6月，360互联网安全中心派出了一支无线环境监测小组，在北京市区的8个人口和办公密集区进行了WiFi网络的实地检测，共检测发现有效的WiFi网络78603个，其中，能确定为企业WiFi的网络为2652个，占所有WiFi网络的3.4%。“由于不能排除我们筛选出的制造商不全，以及企业用户使用一般的民用路由器搭设WiFi网络的可能性，因此，企业WiFi网络的实际比例还要更高。”360互联网安全中心安全专家透露。

　　通过使用第三方WiFi分享工具进行测试的结果显示，在检测到的2652个企业WiFi网络中，共有1201个企业WiFi网络的密码已经被分享，占到所有检测到的企业WiFi网络的45.3%，并且这些企业WiFi网络确实可以用分享工具提供的密码进行登陆，也就是说被分享出来的企业WiFi密码是有效的。可以看出，尽管相比于非企业WiFi来说，企业WiFi网络的绝对数量并不多，但密码被公开分享的比例却很高。

　　特别值得注意的是，在本次测试研究中，360互联网安全中心安全专家发现，对于非企业WiFi(没有使用企业级路由设备的WiFi网络)来说，密码被公开分享的比例仅为19.1%，远远低于企业WiFi密码被分享的比例。

　　九成以上企业WiFi网络环境令人担忧

　　调查组分别从密码构成、密码长度和密码流行度三个方面分析企业WiFi密码的强度。密码强度过低，意味着攻击者比较容易通过撞库和暴力破解的方式入侵WiFi网络。一般来说，由数字+字母+特殊符号组成的，15位以上的非常见密码比较安全。

　　从密码构成来看，90.2%的企业WiFi密码为不安全的纯数字密码，只有9.8%的企业WiFi使用了“数字+字母”或“数字+字母+特殊符号”的组合密码。从密码长度来看，87.1%的企业WiFi密码长度小于等于8位，仅有12.9%的企业WiFi的密码大于8位。

　　从密码流行度来看，即便使用了“数字+字母”的密码，密码长度也在8位以上，但如果使用的恰好是流行密码，那么也很容易被攻击者破解的，因为在网上找到一些流行密码的排行榜并不十分困难。调查组使用了2015年流行密码的Top20与企业WiFi密码进行比对，结果发现，命中流行密码Top20的企业WiFi密码数量占比竟然高达84.6%。

　　360互联网安全中心安全专家认为，这表明，八成以上企业的网络管理员严重缺乏基本的安全意识，使用了非常不安全的流行密码作为WiFi网络密码。攻击者想要入侵这样的WiFi网络，可以说是易如反掌。企业WiFi网络的密码设置普遍存在密码太短、密码构成简单、密码为流行密码及密码早已被第三方WiFi分享工具分享的现象。这些情况导致了九成以上的企业WiFi网络环境处于非常不安全的状态，令人担忧。

　　企业WiFi网络主要面临四大类安全隐患

　　报告指出，大量企业的WiFi网络存在密码被分享或使用弱密码的的情况，从而极易造成WiFi密码的泄漏。事实上，企业WiFi密码的泄漏还有很多其他的原因，而且除了密码泄漏之外，企业的WiFi网络还面临着钓鱼WiFi、私搭乱建和设备漏洞等多重安全风险。其中，企业WiFi密码泄漏的主要原因包括： WiFi密码被不当分享、WiFi密码使用弱口令、WiFi密码加密方式不安全、无线DDoS攻击。

　　以WiFi密码被不当分享为例，密码设置的再复杂，只要有人将密码进行了公开分享，事实上密码也就泄漏了，而且可以被任何人使用。客观的说，企业WiFi密码被不当分享的问题，给企业造成的损害要比任何WiFi攻击技术都要大得多。

　　“因为不论使用什么样的WiFi攻击技术，包括暴力破解，都必须要靠近目标WiFi的覆盖区域才能实施，而且还必须使用破解软件或破解工具，一个一个的进行尝试。但通过第三方WiFi分享工具，攻击者几乎可以0成本的同时获取大量企业的WiFi密码，其危险性可想而知。”360互联网安全中心安全专家分析说。

　　相对而言，企业WiFi的密码被“意外的”分享到第三方WiFi分享平台上的几率要远远大于个人或家用WiFi的密码。此外，人们对于个人家中WiFi密码的保护意识也往往会明显强于企业的公用WiFi的密码。这也就是解释了为什么企业WiF密码被分享的比例(45.3%)会远远大于非企业WiFi密码(19.1%)。

　　如何解决企业的WiFi密码被第三方平台分享所带来的安全问题？360互联网安全中心安全专家建议企业一般可以采取经常变换WiFi密码，或使用动态变化的WiFi密码；对登陆设备进行身份验证或IP管理。

　　报告同时指出，不论是上述那种解决办法，都会增加企业的运维成本和管理难度，而且也不太可能在短时间内得到有效的推广。所以，对第三方WiFi分享工具加强监管，加强对企业WiFi密码收录的审核措施，在现阶段来说，仍然是维护企业内WiFi网络安全的重要手段。记者 王开广