開放式Wi-Fi (第二篇:減少風險)

Wi‑Fi 應改用最新的加密傳輸標準，最低也應採用 WPA2‑AES；雖然 WPA3 更安全，但目前並非所有設備都支援，因此實務上仍需兼顧相容性。密碼可透過 QR Code 張貼或發放，讓使用者方便連線之餘，也能減少明文傳遞密碼所帶來的風險。

場地應部署無線入侵偵測與防護系統，持續監控是否出現與官方網路名稱相似、但未經授權的惡意 AP。這類機制能及早發現假冒熱點，降低使用者誤連的機會。

Wi-Fi 每個使用者的資料都會經由無線訊號傳送，因此若未加密，封包很容易被攔截。只要採用 WPA2‑AES 等加密方式，即使資料在空中傳輸，駭客也難以透過監聽直接讀取內容。另外用戶數據在後台網路設備的資料鏈路層也要完全獨立，這點最易被悉忽略。

前述第 1 點與第 3 點的措施，已能有效降低裝置被竊聽、帳號被盜用及會話遭攔截等後續風險。換言之，只要基礎加密與傳輸保護做好，大部分延伸性的帳號安全問題都能大幅減少。

提供給公眾或顧客使用的網路，應一律視為不可信任環境，因此除了無線層加密外，網路內部也必須具備足夠的政策與硬件資源，以防範掃描、濫用、阻斷服務等攻擊。也就是說，安全不能只停留在「可連線」，而要延伸到整體架構與流量管控。

與其把網路設計成完全開放、缺乏管控，不如由具經驗的管理人員統一維護與監督，才能兼顧安全、穩定與使用體驗。這樣不但能減輕前線工作人員的負擔，也能讓使用者獲得更安心、順暢的上網體驗，形成較理想的營運模式。