在家用路由器设置Wi-Fi时,很多人会看到“认证令牌”或“access token”这类词,尤其是在绑定手机App管理路由器的时候。比如你用厂商的App扫描二维码添加设备,背后其实就在交换认证令牌。这时候就有人问了:这东西传来传去,安全吗?
令牌本身不是密码,但能当钥匙用
认证令牌看起来像一串乱码,例如 eyJhbGciOiJIUzI1NiIs...,它不像密码那样由人设定,而是系统自动生成的临时凭证。拿到这个令牌,就相当于拿到了进入系统的钥匙。如果在传输过程中被截获,攻击者就能冒充你操作路由器。
明文传令牌等于把钥匙挂在网上
如果路由器管理接口使用HTTP而不是HTTPS,那所有数据包括令牌都是明文传输的。想象一下你在咖啡馆连公共Wi-Fi,有人在同一网络下用抓包工具一扫,你的令牌就可能被拿走。这种情况下,改Wi-Fi密码、篡改DNS地址都不是难事。
加密传输是基本底线
正规的路由器厂商现在都会在App与设备通信时启用TLS加密。也就是说,即使数据被截获,内容也是乱的,没法直接读取。你可以检查App连接路由器时的地址是不是以 https:// 或 https:// 开头,或者端口是否为443、8443这类加密常用端口。
POST /api/v1/login HTTP/1.1\nHost: 192.168.1.1\nContent-Type: application/json\n\n{\"token\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\"}短期有效比永久令牌更安全
有些老款路由器生成的令牌永不过期,一旦泄露后患无穷。现在的做法是让令牌有有效期,比如24小时后失效,或者每次登录重新生成。就像小区临时访客卡,过期自动作废,降低风险。
自己也能做点防护
别图省事用厂商默认的管理接口地址,比如一直留着 admin:admin 这种组合。改掉默认账号密码,关闭远程管理功能,不给外网直接接触令牌的机会。另外,定期在设备列表里看看有没有陌生的登录记录,就像查家门锁有没有被撬过一样。
认证令牌传得安不安全,关键看有没有加密、有没有时限、有没有访问控制。这些细节藏在路由设置的角落里,但正是它们决定了你家网络到底是个防盗门,还是虚掩的篱笆门。