我不确定我理解你的困惑。您的手机具有新路由器的正确 SSID 和密码。你为什么希望它不会关联？

假设您使用的是 WPA2，密码本身是加密的，因此您不能只是嗅探它。

除了简单的 SSID 和密码之外，还有其他方法可以识别设备。您可以阅读有关PEAP和EAP-TTLS 的信息来验证客户端和接入点的身份。

您还可以在信息安全 SE上询问有关 WiFi 安全性的更详细问题。

然后我发现我的Android手机会自动连接到新手机而无需询问密码。

这是某种 Wi-Fi 规范吗？

首先，PSK不是密码。这是一个普遍的误解。

PSK 不提供任何类型的身份验证。相反，它是站点和 AP 生成并安全地（至少从没有已知值的外部来源）交换密钥材料以用于加密进一步流量的已知值。

需要明确的是，WPA/WPA2-Personal 不进行身份验证，它只加密流量。

因此，您描述的行为是正常的 802.11 操作。您的 Android 设备能够连接到为其配置的 SSID，然后使用相同的 PSK，它能够与您的新接入点成功协商加密。

当设备连接到 wifi 路由器时，除了 SSID 之外还有什么？例如MAC地址？因此，即使出现了具有相同 SSID 的新设备，它仍然会使新设备成为不同的设备吗？

大多数客户端设备只查看 SSID。有些可以配置为替代（或另外）查看 BSSID，这是一个 48 位 MAC 地址。

限制客户端连接到特定 BSSID 的能力范围将阻止漫游（多 AP 部署中的 AP 之间或具有共享 SSID 的双频段部署中的无线电之间）或需要多个配置设置以在环境中添加每个 BSSID到客户端设备。

这是一个安全问题吗？

不，这是正常操作。您只需要了解所使用技术的局限性。WPA/WPA2-Personal 为您的无线通信提供加密。这就对了。

它并不意味着提供身份验证通常提供的任何类型的好处，也不是为了验证您正在连接的网络。此外，任何具有 PSK 并捕获 WPA/WPA2 加密握手（即当客户端设备连接到无线网络时）的设备也将能够解密所有数据。

这是否使它不安全。不，它只是提供其设计的安全级别。

如果您想要更安全的选择，那么 WPA/WPA2-Enterprise 是您的最佳选择。根据部署选择，它可以为每个连接提供唯一的加密材料，验证连接到网络的用户和/或设备，并验证您正在连接的网络。这确实是一种权衡，因为它在连接的两端都更加复杂，并且可能需要对用户进行培训以保持安全性。这是正常的安全性与易用性的权衡。

一般来说，WPA/WPA2-Personal 足以满足大多数小型部署。

注意：这个答案的某些部分是从我自己对 SE 网络其他地方的类似问题的回答中复制的。因为它们是我自己的答案，所以我没有引用它们。