如何为 Wi-Fi 生成安全密码

Wi-Fi 密码的特殊挑战

Wi-Fi 密码面临一个独特的矛盾：它需要足够强以抵御攻击，同时又需要方便地告知访客——这意味着它必须是人类可以输入甚至口头分享的。完全随机的强密码（如 kR7#mP2@xLqNqZ9!）安全性很高，但每次有新访客时都要听写这样的密码将是一场噩梦。

Wi-Fi密码还有一个特殊的攻击面：它可以被离线攻击。攻击者只需捕获一次WPA2握手包（可以在密码路边停车），然后带走离线破解，而无需实时与你的路由器交互。这意味着Wi-Fi密码必须足够强，以在没有在线速率限制的保护下仍然安全。

WPA2 和 WPA3 的密码要求

WPA2（目前最广泛部署的Wi-Fi安全标准）使用PBKDF2-SHA1算法对密码进行哈希处理，迭代4096次。虽然这比快速哈希算法安全得多，但在现代GPU面前，密码越短越危险。研究表明，8位WPA2密码在高端GPU上可以在数小时内破解。

WPA3 引入了 SAE（Simultaneous Authentication of Equals）握手协议，从根本上防御了离线字典攻击，因为 SAE 不产生可被带走离线破解的握手包。如果你的路由器支持 WPA3，应该启用它——即使如此，仍然建议使用强密码，因为许多旧设备只支持 WPA2，而混合模式（WPA2/WPA3）仍然需要WPA2密码作为回落。

Wi-Fi 密码的推荐格式

对于家庭 Wi-Fi，推荐使用 3-4 个随机单词的密码短语，可以加入数字或简单符号：例如 purple-tiger-balloon-42 或 river cloud desk 77。这类密码：长度足够（约25-30个字符），可通过口头清楚地传达，手动输入不易出错，熵值约55-65比特（对WPA2足够安全）。

对于企业Wi-Fi或需要更高安全性的场景，可以使用12-16位的随机字符密码，并通过QR码分享（而不是口头传达）。大多数现代路由器和Wi-Fi连接应用程序都支持生成QR码，访客扫码即可自动连接，无需手动输入复杂密码。

避免的常见 Wi-Fi 密码错误

最常见的错误是使用路由器默认密码。许多路由器出厂时设置了默认密码（如"admin"或印在标签上的弱密码），这些密码已经被广泛收录在破解工具的字典中。安装路由器后，第一件事应该是更改默认的 Wi-Fi 密码和路由器管理界面密码。

其他常见错误：使用家庭地址、电话号码或家庭成员名字（可从公开信息推测）；使用容易听写的单词但安全性低（如"house12345678"）；在邻居和访客之间传播相同的密码而不定期更换。

访客网络策略

大多数现代路由器支持创建单独的访客网络（Guest Network）。强烈建议为访客设置独立网络，原因有三：可以为访客网络设置一个相对简单易记的密码，定期更换而不影响主网络；访客设备被隔离在访客网络，无法访问你的家庭设备（NAS、打印机、智能家居设备）；如果访客设备被恶意软件感染，它们无法感染你主网络上的设备。

访客网络密码可以定期（如每月）更换，并在访客离开后立即更换（如果不想让其长期保留访问权）。为访客网络设置一个4-5个单词的密码短语，足够安全又方便分享。

路由器管理密码同样重要

除了Wi-Fi密码，路由器管理界面的密码同样至关重要，但经常被忽视。路由器管理界面通常可以通过本地网络访问（有时甚至通过互联网访问），攻击者如果控制了路由器，可以拦截所有网络流量、篡改DNS设置，甚至监控你的所有网络活动。

路由器管理密码应该是一个独立的强密码（不要与Wi-Fi密码相同），存储在密码管理器中。同时，确保路由器不通过公网开放管理界面（禁用"远程管理"选项），并定期检查路由器固件更新以修复已知安全漏洞。