在公共 Wi-Fi 上访问 HTTPS 网站安全吗？

HTTPS 可以加密通信内容，但无法防止 DNS 欺骗或通过虚假门户页面进行的钓鱼攻击。不要仅依赖 HTTPS，请同时使用 VPN 并在连接前确认网络名称。

使用免费 VPN 能让公共 Wi-Fi 变安全吗？

一些免费 VPN 会收集和出售用户数据，反而增加风险。请选择信誉良好的付费 VPN 服务，或使用公司提供的 VPN。

在咖啡馆或机场 Wi-Fi 上绝对不能做什么？

避免进行网上银行操作或输入信用卡信息。此外，在启用文件共享的情况下连接可能会让同一网络上的其他人访问您的文件。

公共 Wi-Fi 安全防护

本文约需 10 分钟阅读

公共 Wi-Fi 存在未加密通信被拦截的风险，使用 VPN 是最有效的防护措施。在咖啡馆或机场使用免费 Wi-Fi 时，请务必先开启 VPN 再进行连接。

咖啡馆、机场、酒店、车站等公共场所提供的免费 Wi-Fi 虽然方便，但暗藏安全风险。未加密的通信可能被拦截，用户也可能被引导连接到伪造的接入点，从而导致密码和个人信息被盗。 Forbes Advisor 2024 年的调查显示，超过 40% 的公共 Wi-Fi 用户在使用过程中曾遭遇信息泄露，这一趋势在 2025 年仍在持续。此外，Statista 2024 年的数据表明，全球公共 Wi-Fi 热点数量已超过 5 亿，攻击面逐年扩大。本文将介绍公共 Wi-Fi 的具体风险与应对措施，以及如何利用 passtsuku.com 提前准备密码。

公共 Wi-Fi 中潜藏的风险

中间人攻击 (MITM) 的原理

中间人攻击是指攻击者插入两个通信方之间，拦截和篡改传输数据的技术。在公共 Wi-Fi 中，攻击者只需连接到同一网络即可实施此类攻击。未加密的 HTTP 通信自不必说，配置不当的网络中即使是 HTTPS 通信也可能遭受攻击。

要理解 MITM 攻击成立的技术背景，需要了解 ARP (地址解析协议) 的工作原理。ARP 用于在网络上将 IP 地址映射到 MAC 地址，但由于缺乏认证机制，攻击者可以发送伪造的 ARP 响应，将自己的设备伪装成路由器。这种被称为 ARP 欺骗的技术一旦成功，受害者的所有通信都会经过攻击者的设备。攻击者从拦截的数据中提取登录凭据、邮件内容、信用卡号等敏感信息。这种攻击的可怕之处在于，用户在通信被拦截的情况下仍会像往常一样使用服务而毫无察觉。

此外，大多数公共 Wi-Fi 采用 WPA2-Personal (共享密码短语模式)，存在结构性弱点 - 知道同一密码短语的所有用户都可以解密彼此的通信。WPA2-Enterprise (802.1X 认证) 为每个用户生成独立的加密密钥，可以缓解此问题，但由于成本和运维复杂性，在公共 Wi-Fi 中的采用仍然有限。

通信窃听 (数据包嗅探)

数据包嗅探是一种捕获并分析网络上流动的数据包的技术。在公共 Wi-Fi 这种多用户共享同一网络的环境中，仅使用专用软件就能轻松获取其他用户的通信内容。需要注意的是，数据包捕获工具本身也用于合法的网络管理目的，因此很难检测和阻止其存在。

要理解通信拦截的原理，数据包分析与网络诊断相关书籍 (Amazon)也可作为参考。

伪造接入点 (Evil Twin 攻击) 的原理

Evil Twin 攻击是指攻击者设置与正规 Wi-Fi 同名或类似名称的接入点来引诱用户的技术。例如，咖啡馆的正规 Wi-Fi 名为「CafeWiFi」，而攻击者设置了名为「CafeWiFi_Free」的接入点。当用户误连到伪造的接入点时，所有通信都会经过攻击者。

这种攻击之所以容易实施，技术原因在于 Wi-Fi 连接协议 (IEEE 802.11) 没有标准机制来验证接入点的身份。客户端 (智能手机和电脑) 仅根据 SSID (网络名称) 和信号强度来选择连接目标，因此攻击者只需设置相同的 SSID 并发射更强的信号，设备就会自动优先连接伪造的接入点。攻击所需的设备仅为一台笔记本电脑和一个市售 Wi-Fi 适配器，总成本仅几百元。这种低门槛使 Evil Twin 攻击的威胁更加严重。

一个容易被忽视的问题是，许多智能手机在遇到同名 SSID 时会自动切换到信号更强的接入点。如果攻击者发射比正规接入点更强的信号，用户可能会在不知情的情况下连接到伪造的接入点。结合DNS 欺骗，还有报告指出存在将用户引导至伪造登录页面以窃取认证信息的高级攻击。

安全使用公共 Wi-Fi 的对策

使用 VPN

VPN (虚拟专用网络) 在终端与服务器之间建立加密隧道以保护通信内容。在使用公共 Wi-Fi 时开启 VPN，即使通信被拦截，由于已加密，内容也无法被解读。请选择可信赖的 VPN 服务，并养成在连接公共 Wi-Fi 之前先启动 VPN 的习惯。关于 VPN 的工作原理和选择标准，请参阅VPN 基础知识与选择方法。

选择 VPN 时需要注意的是，一些免费 VPN 服务会将用户的通信数据出售给第三方。CSIRO 的调查报告指出，38% 的 Android 免费 VPN 应用包含恶意软件。既然使用 VPN 的目的是保护隐私，选择明确声明无日志政策并经过第三方审计的付费服务就至关重要。外出时的 VPN 连接，VPN 兼容便携旅行路由器 (Amazon)也是一个选择。

确认 HTTPS

访问网站时，请务必确认地址栏显示「https://」。HTTPS (SSL/TLS) 会加密通信，防止通过数据包嗅探进行窃听。但是，当连接到伪造的接入点时，仅靠 HTTPS 无法提供充分的防护，因此建议与 VPN 配合使用。了解加密的基础知识，有助于理解为什么在某些情况下仅靠 HTTPS 是不够的。

禁用自动连接

智能手机和笔记本电脑的 Wi-Fi 自动连接功能会在检测到曾经连接过的网络名称时自动连接。攻击者利用这一机制，设置常见 Wi-Fi 名称 (如「Free_WiFi」「Public_WiFi」) 的伪造接入点。在公共场所请禁用自动连接，手动选择连接目标。使用结束后，执行「忽略此网络」将公共 Wi-Fi 的 SSID 从设备的记忆列表中删除，可以可靠地防止今后的自动连接。

VPN vs HTTPS vs 避免使用公共 Wi-Fi - 对策比较

下面比较针对公共 Wi-Fi 风险的主要防御措施。每种措施单独使用都不够完善，组合使用至关重要。

VPN：通过加密隧道保护所有通信。对 MITM 攻击和数据包嗅探均有效，但前提是 VPN 服务本身可信。每月费用约 30–100 元
HTTPS：加密浏览器与服务器之间的通信。无需额外费用且大多数网站已支持，但 DNS 查询和目标域名未加密，因此可以识别浏览目标。在 Evil Twin 攻击下还存在 SSL 剥离的风险
避免使用公共 Wi-Fi (移动数据通信)：由于不连接目标网络，是最可靠的防御措施。但流量限制和漫游费用是需要考虑的问题
启用防火墙：启用操作系统内置防火墙可以阻止不必要的入站连接。与其他措施配合使用可以增加防御层次

从实务角度推荐，「VPN + HTTPS 确认 + 防火墙启用」的三层防御是最均衡的组合。在可以使用移动数据的情况下，金融服务和邮件等高机密性操作使用移动网络，公共 Wi-Fi 仅限于视频观看和地图搜索等低机密性用途，这种区分使用也很有效。关于旅行中的整体安全对策，请同时参阅旅行中的网络安全对策。

常见误解：「有 HTTPS 公共 Wi-Fi 就安全」

「只要网站使用 HTTPS，公共 Wi-Fi 就安全」这一误解根深蒂固。虽然 HTTPS 确实会加密通信内容，但需要了解以下局限性。

DNS 查询未加密：访问了哪些网站对网络管理员和攻击者是可见的。除非启用了 DNS over HTTPS (DoH)，否则浏览历史会完全暴露
SSL 剥离攻击：处于 MITM 位置的攻击者在与服务器之间维持 HTTPS 的同时，将与受害者之间的连接降级为 HTTP。如果不仔细检查浏览器地址栏就无法察觉
对伪造证书警告的麻木：当攻击者使用自签名证书时，浏览器会显示警告，但许多用户会忽略警告继续连接

HTTPS 是重要的防御层，但在公共 Wi-Fi 环境中，只有与 VPN 结合使用才能获得充分的保护。如果想系统地了解加密技术基础，请同时参阅加密基础知识与密码保护。

输入密码时的注意事项

在公共 Wi-Fi 环境中，尽可能避免输入密码是最佳对策。但如果不得不登录，请注意以下几点。

先开启 VPN 再登录
确认网站受 HTTPS 保护
确认周围没有人偷看屏幕 (防止肩窥)
避免登录金融服务或邮箱账户
登录后务必退出
使用后断开 Wi-Fi 连接

使用公共 Wi-Fi 前的安全检查清单

在外出时连接公共 Wi-Fi 之前，请确认以下事项。如果有任何一项回答为「否」，建议放弃连接或采取对策后再使用。

是否已安装 VPN 应用并拥有有效订阅？
操作系统防火墙是否已启用？
Wi-Fi 自动连接是否已禁用？
浏览器的「仅 HTTPS 模式」是否已启用？(可在 Firefox、Chrome 中设置)
连接目标的 SSID 是否与设施的官方信息一致？(向工作人员确认)
文件共享 (AirDrop、Nearby Share) 是否已禁用？
密码管理器中是否已保存所需的认证信息？(避免手动输入)

使用 passtsuku.com 提前准备密码

为了将公共 Wi-Fi 环境中的风险降到最低，重要的是提前在安全的网络环境中完成密码更改和新注册。使用 passtsuku.com，您可以在家庭或办公室的安全 Wi-Fi 环境中预先生成所需的密码。

在旅行或出差前，使用 passtsuku.com 更新您计划使用的服务的密码。生成至少 16 个字符、包含大写字母、小写字母、数字和符号全部四种字符类型的密码，并保存到密码管理器中，可以减少外出时手动输入密码的机会。

使用 passtsuku.com 的批量生成功能，您可以一次性准备多个服务的密码。由于生成过程完全在浏览器内完成，密码不会通过网络传输。在安全的环境中提前准备，为公共 Wi-Fi 的风险做好防范。

现在就能做的事

订阅可信赖的 VPN 服务 (无日志政策、经第三方审计) 并在智能手机和电脑上安装应用
禁用智能手机和电脑的 Wi-Fi 自动连接，更改设置为手动选择连接
启用浏览器的「仅 HTTPS 模式」(Firefox：设置 → 隐私与安全，Chrome：chrome://settings/security)
使用 passtsuku.com 将主要服务的密码更新为 16 个字符以上，并保存到密码管理器中 (避免外出时手动输入)
确认操作系统防火墙已启用，并禁用文件共享 (AirDrop、Nearby Share)

常见问题

在公共 Wi-Fi 上访问 HTTPS 网站安全吗？: HTTPS 可以加密通信内容，但无法防止 DNS 欺骗或通过虚假门户页面进行的钓鱼攻击。不要仅依赖 HTTPS，请同时使用 VPN 并在连接前确认网络名称。
使用免费 VPN 能让公共 Wi-Fi 变安全吗？: 一些免费 VPN 会收集和出售用户数据，反而增加风险。请选择信誉良好的付费 VPN 服务，或使用公司提供的 VPN。
在咖啡馆或机场 Wi-Fi 上绝对不能做什么？: 避免进行网上银行操作或输入信用卡信息。此外，在启用文件共享的情况下连接可能会让同一网络上的其他人访问您的文件。

这篇文章对您有帮助吗？

生成密码 →