如何评价 Wi-Fi 万能钥匙窃取国家机关、金融机构和个人的 Wi-Fi 密码？

从个人到商场，从外交大楼到金融重地，“万能钥匙”统统可以轻松窃取密码。

由两组21个数字和字母编写而成的复杂密码，仅用几秒钟就被Wi-Fi钥匙的软件破解。

严格说来，能造成如此广泛的泄密，这说明WiFi的psk认证制度本身是有安全问题的。

wifi的psk认证又称个人认证，是为个人用户提供的安全性较低的认证方式。目前的WiFi如果大家使用最常用的这种psk认证，它在获取密码时不另外校验提供者的身份。

密码制度的本质就是掌握密码视同本人操作，在这个本身有缺陷的制度下，你抱怨技术其实没意义。正如我通常反对将信用卡设密码一样。信用卡不设密码，盗刷了商家负责，信用卡设密码，被盗刷了就是你本人倒霉了，因为使用密码视为本人操作。

如果WiFi一开始采用的就是身份认证，类似于让终端标明自己身份，然后路由器给身份做白名单，实际安全性就会好得多，只要能够对身份伪造进行防范即可。
换个角度，一旦密码认证的方式存在，人们就会倾向于使用这种更简便的方式而没有动力选择更安全的认证方式（即便你的路由器本来支持）。
--

回到正题：是谁给国家机关，金融机构的wifi路由器设定为通过psk进行认证的，这个家伙要负主要责任吧。涉密wifi本来就不应该用psk认证这种个人认证，而是应该用企业认证方式。你自己本身的安全级别不够，就算没有万能钥匙搞你，用其它方式一样搞你。

至于自家wifi？最安全的选择其实还是别用psk认证，比方说使用企业级的radius服务器认证，但是这个用起来对个人来说略有些麻烦。
如果怕麻烦那我建议大家还是都选购支持主客制的路由器吧，专门开放另外一个ssid给客人，有客人来了让他连客用ssid，自己的密码永不公开。就不存在很大的安全问题了，客用ssid可以用不同的认证方式，例如微信认证网页认证申请认证等等。如果没有主客制的路由器，那么弄个wifi共享也行，就是个类似u盘的东西，插上电脑就把电脑的网络共享出来，这样朋友来了插这个，走了就拔掉。

补充一下：最便宜的TPLink路由也能支持企业级认证，最便宜的小米路由也能支持主客分离微信认证网页认证，而那个类似U盘的移动wifi更是便宜得让人不好意思。所以事实上，各位想要对自己路由提升认证级别的，请不要用价格作为借口，以上方案都可以到百元以下。封杀万能钥匙解决不了问题，因为根本问题是你的路由器设定的安全性不足，不解决这个问题，去解决提出问题的人，是达不到效果的。

说窃取夸张了，但确实违法。
用户把别人（包括机关）的密码分享给别人，是违法的。
万能钥匙为违法行为提供平台，是违法的。
万能钥匙甚至在用户界面上怂恿、暗示这种公开隐私的功能，隐藏其违法性，就更严重了。

说白了这东西就是隐私公开平台，朋友把钥匙借给你，它做个平台让你共享出去，所有人都能进朋友家，这种平台不违法就没天理了。

有人说用户分享密码，用户没有密码的所有权，他凭什么分享出去？
上回我家远房亲戚来我老家，上来就拿wifi万能钥匙给特么连上了，默认就分享出去。我跑到这软件上申诉，麻痹还要填mac地址，照路由器照片，要不要脸！
这软件这么多年还能不倒，后面的公关力量还是很强的。

这种软件该死啊。
首先，说实话，央视做的不专业，其他回答也指出来了，说是破解有点过分，因为用户都是分享的Wifi密码。但是重点不是这个啊！重点不是破解密码。
我也不知道回答里面多少是水军，Wifi万能钥匙这种不要脸的软件归根结底使用了中国人爱占小便宜的特点，正如李彦宏所说，中国人愿意用隐私来换取方便。
这个软件的邪恶之处在于：
（1）诱导不懂数码知识的小白，尤其是城市中的学生、民工、家庭主妇等收入不高、上网需求大的人安装并分享自己所连过Wifi发热密码。由于以前流量费比较贵，不少人为了方便就装了这个app，想要蹭网，但是这些人根本不知道这个app会上传自己所连接过的wifi。
（2）分享容易，取消分享难。取消分享需要填写各种资料，还要人工审核，审核也不通过。这就是在阻拦你取消分享，举个例子。你往我这里存一百块钱我承诺反你200，你要的时候我需要你填出生证明、房产证、毕业证，即使你给我看了我说我审核不通过，你什么感想？
（3）投放低俗广告。为了钱无所不用其极。

总之，央视这么说也算是做了回好事吧。

其实这个事情由律师来回答更合适。Wi-Fi万能钥匙诱导用户共享WiFi接入密码，但实际上用户并没有权利去传播WiFi接入密码，侵犯了WiFi提供者的权利。打个比方，你去水果摊买苹果，对路人甲说苹果好吃，然后路人甲就擅自把摊里的苹果卖给了其他人，剩下摊主一脸懵逼。

从安全的角度来说，再次提示了对WiFi网络进行接入控制的必要性，也是个说明边界防护的缺陷的好例子。

破解个鬼啊，你信他。
所有的wifi万能钥匙工作原理是你每次进入一个wifi输密码的时候，他记下来上传到服务器去。
你想连哪个Wi-Fi时，去服务器取回来。
实际上是一个密码共享的平台。当你启动app的时候，他实际上在很小的角落里有一个选项，问你是否同意把自己的密码共享给别人。不用你点他默认选项是同意。除非你自己去关闭。但即使你关闭，他也不一定就不共享了。
这就是李彦宏说的这个愿意拿隐私换服务的真相。表面上看起来好像你同意了，实际上是你被骗了。或者说知情权被骗了。
现在的wifi密码机制是不可能被简单的app攻破的。这已经是久经考验了。当然如果拿出大型机来帮忙计算是有可能的

【2018年4月2日更新】

自己写答案的时候就以为是个技术贴，后来才发现是蹭了央视热点。

【4月2日增加技术部分】
从安全上分析，需要注意以下几个问题：

• 对于WiFi热点，安全性问题，有如下分析：
  

• 尽量把管理员密码和接入密码分离，否则你的WiFi热点可能被别人完全控制。
  
• 完全控制的意思就是，他掌握了你所有的通信内容；他有可能伪冒敏感网站，造成你的信息或经济损失。例如，某些银行网站没有打开https，直接使用http。那么在这个银行网站上进行的所有业务，都可能有经济风险。尤其是他伪冒了银行网站以后，他可能获得你的卡号和密码。从伪冒网站下载的网银软件也可能是伪冒的，同样进行的交易可能是高风险
  
• 如果他不能控制你的路由器/交换机，那么对你的风险也很小，不需要太担心。WiFi链路上，每一个设备每一次接入后，业务的安全密钥（完整性/机密性）都是重新协商的，每一个设备都不一样，同一个设备下不同时间接入的密钥也不同。
  

2. 对于接入者，这个也要好好说说。因为WiFi接入点是可以完全控制的，他可以做上面所说的『完全控制』下所有的事。例如你用手机或者电脑接入到别人的WiFi热点（不论是免密码，还是你获取到密码），他在路由器上都可以获取到你的通信内容。如果你的业务，即你访问的网站是没有进行https保护，那么伪冒网站，修改你的输入输出，窃取你的卡号密码，用户名密码，都是可以的。

综上所述，不要随意接入自己不信任的WiFi，不要把自己的WiFi热点共享给别人，这是一个基本安全。除非你能确认，你的安全保护措施做到位。对于被接入，用户名密码分离；对于接入者，认清楚自己访问的业务，以及访问业务是否进行了https保护。
【法律意义】
共享WiFi密码，涉嫌侵犯个人信息保护相关规定（国家现在法律还未出台），具体可以参考一下有关规定，或者国家标准。大概有以下几个：

• 提示不够明确，未做到『明确告知』、『默认不收集』、『个人自由意志选择同意』这3个义务。
  
• 说明不够明确，未明示搜集信息的目的
  
• 说明不够明确，未明示自己对所收集信息的保护能力
  
• 说明不够明确，未明示自己对所手机信息的处理方式、是否共享
  
• 用户名密码属于敏感信息，对于敏感信息，无必需的理由，不得搜集处理
  
• 未向用户明确提示搜集信息后用户可能遇到的风险（也就是我上面列的那些，两侧的风险）。
  

因为他如果明示了，大概就没几个人用了。这是他的业务模型，没有人用，他存在的意义，他的经济收入就要受到大的影响了。
【4月2日修改完毕】