在聊天中与@epeleg 进行了一些讨论后，我想我可能会有一个更彻底和（希望）清晰的答案。

TL;DR：通过使用 PSK 加密为 Wi-Fi 网络提供的保护与 PSK 的复杂性以及为保护该 PSK 所付出的努力成正比。对于任何环境，这都需要在安全性和可用性之间取得谨慎的平衡。

• 最低安全性/最简单的可用性：无加密。

• 最高安全性/最难可用性： WPA2-AES、高复杂性 PSK、MAC 地址过滤、无线入侵检测/预防系统。需要用户和设备注册才能访问 PSK 并添加到 MAC 过滤器。

如果您打算将免费 WiFi 作为一项服务提供给社区，那么平衡可能介于两者之间 - 并且可能倾向于前一种解决方案。但是，如果您愿意付出努力，即使是上述选项中的后者也是非常可行的。

尽管如此，以任何方式保护“免费 WiFi”网络并不能完全阻止攻击，因为它确实使攻击更加困难。

在 WiFi 连接上加密网络流量总是比以明文方式发送流量更安全。虽然并非不可能，但对于局外人来说，将 WPA2 加密的流量转换为明文非常困难且耗时。然而，大多数加密的 SOHO 和“免费 WiFi”网络必须依靠密码或预共享密钥 (PSK) 来保护加密机制。

在任何系统中实施密码所提供的保护量总是与密码复杂性和保护密码所付出的努力成正比。无线网络也不例外。

为了尝试简单地表达这与您的“免费 WiFi”情况的关系，我将给出一些可能的配置场景以及每个场景的优缺点：

• 场景：您的网络完全不安全。AP 范围内的任何人都可以跳上并享受免费 WiFi。

  • 好处：这对任何人来说都是最容易使用的，并且几乎不需要管理开销。

  • 缺点：这是所有网络中最脆弱的。所有不使用加密协议（例如 HTTPS）的流量都将以明文形式发送。这个网络很容易被嗅探、欺骗和以其他方式操纵，即使是非常缺乏经验的攻击者也能从中受益。

• 场景：您的网络受到强大的 PSK 保护，使用 WPA2 进行身份验证和加密。您已将 SSID 和 PSK 发布在可公开查看的位置。

  • 好处：您的无线网络上的数据是加密的，没有 PSK，任何人都无法读取数据或连接到您的无线网络。这个网络对于最终用户来说也很容易加入，并且几乎不需要管理开销。

  • 缺点：以这种方式公开访问 PSK 使得网络范围内的任何人都可以轻松地抓住它并跳上去。攻击者不太可能被这种方法吓倒。

• 场景：您的网络受到强大的 PSK 保护，使用 WPA2 进行身份验证和加密。您在可公开查看的位置发布了免费 WiFi 服务的广告，其中包括潜在用户获取密码的联系信息。

  • 好处：您的无线网络上的数据是加密的，没有 PSK，任何人都无法读取数据或连接到您的无线网络。使用这种方法，您可以在一定程度上与每个用户进行个人联系 - 这有助于在一定程度上消除他们对您网络上的匿名感的幻想。这可能有助于阻止一些潜在的攻击者，他们宁愿转移到安全性较低的网络，也不愿为您的 PSK 与某人联系。

  • 缺点：这要求有人在合理的时间内（包括您的广告中的时间范围）通过电话或电子邮件向用户提供登录凭据。用户也可以通过简单地通过 PSK 点对点来规避这一措施。

• 场景：您的网络受到强大的 PSK 保护，使用 WPA2 进行身份验证和加密。您在可公开查看的位置发布了免费 WiFi 服务的广告，其中包括潜在用户请求访问的联系信息。您还实施了用户和设备注册流程，其中包括可接受使用政策、注册用户的联系信息以及所有设备的 MAC 地址。您还在 AP 上实施了 MAC 地址过滤，并在网络上实施了监控/记录服务。

  • 好处：你的无线网络上的数据是加密的，没有PSK没有人可以读取你的无线网络上的数据。如果没有 PSK和注册的 MAC 地址。使用这种方法，您可以查看您的网络是否/何时被不当使用以及被谁不当使用。您现在还签订了一份协议，通知您的用户不会容忍不当使用，并且如果发生此类使用，您可能会免除您的一些法律责任。* 潜在的攻击者宁愿找到一个更容易的受害者，也不愿经历如此彻底的过程，尤其是当他们阅读 AUP 中提到正在使用监控的条款时。用户将无法通过简单地传递 PSK 来轻松绕过设备注册。如有必要，您还可以通过取消注册用户的 MAC 地址和/或更改为（并通过注册的用户联系信息分发）新的 PSK 来撤销用户的访问权限。

  • 缺点：在所有这些场景中，这需要最多的管理工作。这将要求有人在合理的时间范围内执行完整的用户注册过程 - 收集个人信息，收集设备信息（帮助不知道如何 - 并且很可能不会的用户），归档文书工作和注册与网络的新设备。为了完全有效，还需要定期检查日志是否存在可疑活动和/或部署某种形式的 IDS/IPS。获得 PSK 的攻击者很容易能够欺骗其他注册设备的 MAC 地址，以绕过设备过滤器，或在网络上冒充该设备的用户。

在所有情况下，都应牢记以下几点：

• 通过提供无条件的免费 WiFi，无论您采用何种注册或 PSK 分发流程，您总是有可能允许恶意用户进入您的网络。

• 对于当前存在的所有受 PSK 保护的 WiFi 系统（WEP、WPA、WPA2），都有已知的攻击向量允许经过身份验证的用户嗅探网络上其他用户的流量，就好像它是明文一样。（当然，前提是流量没有通过 HTTPS 等其他方式加密。）

• 确保所有网络设备的管理界面都受到与您分发的任何 PSK 不同的强、非默认密码的保护。

• 根据您当地的司法管辖区，您可能需要为使用您的 WiFi 网络的人的行为负责。*

• 您与 ISP 的合同可能不允许随意共享您的 Internet 连接。

最后，解决您的最终查询：

黑客可以在没有密码的 wifi 网络上造成比在有黑客知道的密码的网络上更大的破坏吗？

当谈到无条件免费 WiFi 网络时，攻击者可以造成多大的破坏并不重要，重要的是他可以轻松地做到这一点。我希望我已经在上面清楚地解决了后者。

*我不是律师，这不是法律建议。

如果您将定期与您的 WiFi 网络的所有潜在用户联系，那么拥有密码并不是一个坏主意。在这种情况下，黑客可以对未受保护的网络与受保护的网络造成多大的损害，这与其说是问题，不如说是他可以轻松做到这一点的问题。

尽管任何人都可以通过您设置的任何免费机制获取密码，但它仍然是对偷渡式攻击的另一个障碍和威慑。通过同时应用 WPA2 加密，这也意味着即使拥有密钥的人也不会轻易嗅探客户的流量。（这方面有已知的攻击媒介，但在明文中嗅探流量要容易得多。）

作为旁注，请确保您的 WiFi 路由器的管理界面也受强密码保护，该密码与您分发的密码不同。并且，如果可能，请尝试对您的环境进行分段，以便将任何具有有价值信息的系统与托管免费 WiFi 的网络分开。

我不同意伊西。

每个点仅在允许使用网络的人和不允许使用网络的人之间存在区别的情况下才有效。在没有该谓词的情况下，Iszi 没有提供使用密码的理由。

如果您想提供免费 WiFi - 很好 - 但请考虑可能发生的最糟糕的事情。

• 您与上游供应商的合同是否允许这种操作？
• 您如何保护自己免受 Wifi 用户的行为 - 例如发布诽谤性评论、非法 P2P 共享等。

请注意，无论您是使用共享密码限制对一小部分已识别个人的访问，还是提供开放访问权限，这些问题都存在-因此本身没有理由使用密码。

在 dd-wrt ​​上，有一个选项可以防止无线节点相互通信。流量只能从 TabletPC 到路由器再到 Internet。所以即使是两个授权的无线节点也不能直接共享文件。这使得 WLAN 更像“交换机”而不是“集线器”。不知道这种 WLAN 隔离是否会通过溢出 ARP 表或其他方法来破坏交换机提供的以太网隔离，从而使交换机成为 HUB。

该网站上另一个问题的海报说，带有 AES 的 WPA2-PSK 可以添加随机化，这样即使所有用户都使用相同的 PSK，也不应该解密其他人的流量。我想得到确认，因为http://wiki.wireshark.org/HowToDecrypt802.11 清楚地表明当数据包捕获器知道 PSK 时 WPA2-PSK 很容易被嗅探。

不使用热点和半径设置 dd-wrt ​​为每个用户在 LAN 上提供自己的密码。