大多數關於如何改善 WiFi 安全性的建議，仍是從錯誤的問題開始。它會問：「您的 Wi-Fi 密碼強度如何？」在企業、飯店、零售物業、醫院或多租戶大樓中，這已不再是主要問題。

問題在於共享信任。如果員工、訪客、承包商、自助服務機、電視、感測器、收銀機和平板電腦都依賴相同的憑證模型，那麼一個弱點就可能暴露遠超預期的範圍。長密碼有助於基本加密，但它無法為您提供身分識別、問責制、撤銷或圍堵能力。

現代 WiFi 安全與其說是讓單一秘密更難被猜測，不如說是確保一開始就沒有任何單一秘密可以授與廣泛的存取權限。這意味著必須將無線網路視為身分與策略層，而不僅僅是射頻服務。

重新思考您的 WiFi 安全模型

許多企業 WiFi 部署中最薄弱的部分不是無線電、密碼演算法或存取點，而是允許大批無關的使用者和設備共享同一個信任模型的決定。

共享的 WiFi 密碼在理論上看起來很有效率，在實務上卻會產生營運債務。員工在聊天中互相傳遞；承包商在工作結束後仍保留它；前台團隊整天發送它。設施團隊因為快速，而使用相同的憑證連接印表機、顯示器和感測器。此後，撤銷存取權限通常意味著要為每個人更改密碼，然後處理依賴該密碼的每台設備所產生的後續影響。

這種模型在飯店、校園、零售物業、醫院、體育場和多租戶大樓中很快就會瓦解。

為什麼密碼已不再足夠

核心問題不在於密碼強度，而是在許多使用者或設備使用相同的秘密進行身分驗證後，缺乏個人問責制和控制權。

企業環境中的無線網路攻擊通常始於完全按照預期連接的設備。託管的筆記型電腦因網路釣魚而感染惡意軟體；承包商設備的授權時間超出預期；安全性差的 IoT 端點進入了給予其過多權限的網路。在每種情況下，最初的 WiFi 加入可能是合法的，但風險來自於准入後該連線所代表的權限。

共享憑證會產生共享的爆炸半徑。

使用共享金鑰，就無法乾淨地將活動與特定人員或端點綁定，無法在不影響其他人的情況下精確撤銷某一方，也沒有為按角色分配存取權限提供強大的基礎。這非常不適合員工、訪客、居民、租戶、銷售點系統、看板、醫療設備、攝影機和建築系統都需要不同信任級別的環境。

更好的模型是什麼樣子

更強大的 WiFi 安全模型是根據身分而非密碼來分配存取權限。

這意味著每個用戶或裝置都根據其自身的條件進行驗證，原則會評估連接的主體，而網路會將該工作階段放入適當的存取層級。在實際操作中，准入決定應反映身分、裝置類型、狀態、所有權、位置和業務角色。

對於員工，存取應透過 802.1X 、基於憑證的驗證或支援 SSO 的上線流程來遵循企業身分系統。對於訪客，存取應易於獲取，但與內部服務嚴格隔離。對於租戶和第三方，存取應限定在其自身的資源範圍內，不得涉及其他任何內容。對於不支援現代方法的裝置，備用方案應為每個裝置配備不同的憑證，並使用東西向存取權限極其有限的受限區段。

SSID 仍然可以幫助組織服務集，但不應承擔安全設計的全部負擔。相反，主要的控制點是身分儲存庫、原則引擎、憑證生命週期以及決定工作階段允許流向何處的分割規則。

新的目標狀態

目標狀態非常明確。在環境允許的任何地方，移除共用密碼。

在成熟的部署中，員工 WiFi 會針對目錄或身分提供者使用 802.1X。訪客存取僅在需要時使用 Captive Portal 上線，或在支援的情況下使用 Passpoint ，以便用戶在不暴露內部網路或不依賴靜態共用金鑰的情況下進行連接。多租戶環境從一開始就將用戶和裝置對應到正確的原則網域，而不是因為他們知道密碼就信任他們。

這需要做出折衷。基於身分的存取需要規劃、PKI 或憑證管理、RADIUS 設計，以及對棘手舊型端點的支援。但這些工作可以換來強化的 PSK 永遠無法提供的好處：清晰的歸屬、受控的上線、選擇性撤銷以及裝置受損時的控制圍堵。

實施基礎網路強化

在使驗證現代化之前，請先鎖定基礎架構。許多組織啟用了不錯的 WiFi 加密，卻仍因微弱的預設值和被忽視的管理設定而使控制平面暴露在外。

在英國，公共指南對基礎知識非常明確。NCSC 建議停用共用或預設的 WiFi 憑證，並使用 WPA3 Personal，或者在無法使用 WPA3 時使用 WPA2 Personal，因為加密可以保護傳輸中的資料。FTC 也指出 WPA3 是較新且最佳的選擇，並以 WPA2 作為備用方案。對於管理員而言，實際的里程碑是將路由器視為受管理的安全裝置：變更預設的管理員使用者名稱、密碼和 SSID，停用遠端管理、WPS 和 UPnP，並保持韌體更新，如此處引用的 FTC 路由器安全指南中所述。

從管理平面開始

如果攻擊者可以管理路由器、控制器或存取點，您的 SSID 設定就無關緊要了。

A comparison chart showing the security differences between PSK personal authentication and Enterprise RADIUS authentication methods.

請將此作為強化安全性基準：

變更預設管理員憑證。不要在路由器、AP 或控制器上保留出廠的使用者名稱或密碼。
重新命名預設 SSID。預設命名通常會透露您不需公開的廠商或部署模式。
除非有明確的營運需求，否則請停用遠端管理。如果確實需要，請透過您的管理網路和存取控制進行嚴格限制。
停用 WPS。它解決的是您在企業環境中不應該面臨的便利性問題。
停用 UPnP。自動暴露服務與最小權限原則背道而馳。
審查本地管理帳戶。移除過期的緊急備用使用者，並輪替多年未曾變更的憑證。

修補是最具價值的控制措施之一

對於英國組織而言，韌體修補和裝置維護是最具價值的營運控制措施之一，因為受感染的路由器和存取點經常會被已知的漏洞所利用。NCSC 的 Cyber Essentials 計劃要求面向網際網路的裝置和安全軟體保持最新狀態，其安全指南也在這篇 Wi-Fi 安全營運概述中，強調了預設路由器密碼是一個常見的攻擊路徑。

實際的修補流程如下：

盤點所有 AP、控制器、無線閘道和邊緣路由器
檢查支援狀態，確保您沒有在試圖保護生命週期結束的硬體安全
在維護時段內套用目前的韌體
升級後驗證設定是否保留
變更後審查已連線的裝置清單，以捕捉異常或意外情況

實用規則：如果您只變更了 WiFi 密碼，卻保留了管理員預設設定、WPS 或遠端管理，您就沒有強化網路安全。您只是變更了一個可見的設定。

哪些方法無效

有些建議之所以能留存下來，是因為它們符合直覺，而非因為它們有效。

隱藏的 SSID 就是一個常見的例子。它並不能提供實質的安全防護，反而會增加支援上的難度、造成用戶端裝置行為異常，並給人一種安全的錯覺。如果您想在大型環境中提升 WiFi 安全性，請不要把維運心力浪費在隱藏這類把戲上，而應專注於身分識別、網路區隔和管理維護。

一個思考基礎強化的簡單方式如下：

領域	有效的方法	無效的方法
管理	獨特之管理員憑證、限制管理存取權限	出廠預設值
裝置安全	最新韌體與受支援的硬體	繼續使用已過期（End-of-life）的 AP
便利功能	停用 WPS 和 UPnP	在企業環境中使用消費級預設設定
可視性	託管資產清冊與設定審查	寄望 WLAN 控制器能呈現完整狀況

基礎強化無法解決所有無線網路風險，但它確實能消除攻擊者仍常利用的簡單漏洞。

升級至企業級驗證

在企業、訪客和多租戶環境中，最大的 WiFi 安全錯誤就是將共用密碼視為可接受的控制層。共用密碼容易發放、容易轉傳，且一旦在員工、承包商、居民、租戶和未託管裝置之間散播開來，就極難進行控管。

對於較大型的環境，實際的升級方案是採用搭配 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise。這能將網路存取從共用金鑰轉變為身分識別決策。網路可以即時評估使用者是誰、連接的是什麼裝置，以及此時應該套用哪項原則。

為什麼 802.1X 在維運上如此重要

共用密碼的 WiFi 在日常維運壓力下極易失效。人員離職變成了一場重設密碼的苦差事，資安調查也缺乏明確的歸屬紀錄。承包商和短期使用者最後使用的存取模式與正式員工完全相同，因為比起管理實際的存取原則，管理一個金鑰要簡單得多。

802.1X 透過為每個工作階段賦予身分識別來解決此問題。其流程包含三個部分：

要求者（Supplicant），即用戶端裝置
驗證者（Authenticator），通常是基地台（Access Point）或交換器連接埠
驗證伺服器（Authentication Server），通常是 RADIUS

如果您想尋找關於第三種角色的白話說明，這篇關於 RADIUS 伺服器用途的概述是一個很好的起點。

該模型支援了企業級控制，而這是預先共用金鑰（PSK）難以處理或完全無法實現的。

除了更強的加密之外，您還能獲得什麼

加密固然重要，但最主要的改進在於管理控制能力。

A diagram illustrating a secure network segmentation architecture with a central firewall controlling traffic between various networks.

以下實際對比能清楚呈現其中的差異：

需求	共用密碼模式	企業驗證模式
移除單一使用者	更改整個密碼，然後重新分發	停用個別帳戶或憑證
調查活動	難以明確追蹤歸屬	將事件與使用者或裝置身分識別進行綁定
套用角色型存取權	粗放且需手動操作	內建於原則決策中
處理離職人員與承包商	容易出錯	集中式撤銷
保護混合資產	不利於規模化擴充	適用於員工、BYOD 和託管裝置

最強大的部署模式通常很直觀：

在 SSID 上啟用企業驗證
為員工使用集中式身分識別來源
停用舊版密碼編譯演算法
將已驗證的使用者和裝置類型對應至正確的網路原則
定期稽核驗證路徑

部署通常會在何處停滯

複雜性是常見的反對理由，而且確實有其道理。

PSK 避開了身分識別設計。但 802.1X 強制要求對身分識別儲存庫、憑證生命週期、裝置上網引導、訪客存取、後備方法以及舊型硬體的例外處理做出決策。這些規劃需要時間，但能消除日後一連串重複出現的問題。

當存取權與您已在其他地方管理的身分識別相結合時，企業 WiFi 就會變得易於管理。

相容性是第二個問題。筆記型電腦和手機通常在配合憑證型存取或目錄支援驗證時運作良好。印表機、掃描器、醫療裝置、OT 系統和舊型 IoT 設備則通常無法支援。成熟的設計會在早期就考量到這一點。讓現代化使用者存取保持使用 802.1X，隔離例外情況，並避免讓少數受限的裝置為整個資產制定原則。

在多租戶和大型公共場所中，訪客存取需要特別處理。員工和租戶使用者應使用您可以撤銷和稽核的身分識別進行驗證。訪客應使用獨立的上網引導流程，在環境支援的情況下，最好使用 Captive Portal 註冊、同盟登入或 Passpoint。這能減少密碼共用、降低支援開銷，並使存取原則更容易在各個站點一致地執行。

實務上該如何選擇

對於大多數組織而言，以下是行之有效的順序：

員工裝置 使用具有 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise
企業託管端點 偏好使用基於憑證的驗證
BYOD 使用者 透過受控的身分識別工作流程進行驗證，並受原則限制
訪客使用獨立的存取流程，並保持在員工信任模型之外
舊版端點 接受例外處理，並具有嚴格的範圍和明確的擁有權

如果目標是在企業規模上提高 WiFi 安全性，請圍繞身分識別進行建置，而不是使用更好的共用密碼。在實務上，這意味著針對員工存取採用 802.1X、在適當情況下採用單一登入（SSO）或同盟身分識別、針對高流量訪客環境採用 Passpoint，以及使用簡短的受控例外清單，而不是圍繞密碼分發建置的網路。

設計安全的區段化網路架構

如果驗證回答了「誰可以加入」的問題，那麼區段化就回答了「他們降落在哪裡」的問題。

扁平的無線網路就像一條沒有車道、沒有護欄、也沒有規定哪些車輛可以到達哪些目的地的高速公路。它可能會疏導交通，但無法很好地控制事件。

按信任關係進行區段化，而非按便利性

訪客存取通常被視為簡單的密碼問題，但更強大的設計是將訪客 WiFi 區段化到獨立的子網路或網路中，並將其與敏感資源隔離，正如 Ekahau 關於安全 Wi-Fi 設計的指引中所討論的那樣。這比隱藏 SSID 等表面上的作法重要得多。

在大型環境中，最乾淨的區段化模型通常包括以下不同的區域：

企業員工
訪客
IoT 和營運裝置
受保護的伺服器或應用程式區域
特定租戶或特定場地網路（若需要）

一個流程圖，描繪了自動化 Wi-Fi 上線和安全網路存取管理的七個步驟。

每個區域都應該有自己的 VLAN 或同等原則邊界，且區域間的流量應通過防火牆或原則引擎。並非所有無線控制器都能同樣出色地執行此操作，因此請檢查原則在您的堆疊中位於何處。

在實際場地中行之有效的藍圖

使用反映實際業務功能的區段化規則。

餐飲旅宿與休閒娛樂

飯店、酒吧、體育場和活動場地通常至少需要以下隔離：

訪客網際網路存取，沒有路由到後台系統
員工營運：適用於手持裝置、PMS 客戶端與內部應用程式
POS 與支付環境：具有嚴格限制的橫向（東西向）流量
建築系統與 IoT：例如 IPTV、恆溫器、電子看板、電子鎖或攝影機

在旅宿業中，常見的失敗在於為了便利而妥協設計。有人希望一個 SSID 就能處理「所有事物」。支援服務在一週內變得容易，但風險卻在未來數年持續攀升。

零售與購物中心

零售物業通常需要隔離：

商店員工裝置
顧客訪客存取
POS 與支付終端
數位看板與感測器
房東或商場管理系統

關鍵在於防止單一商店、單一自助服務機或單一設定錯誤的廠商裝置，成為進入另一個營運網域的橋樑。

多租戶物業

在住宅、租賃住宅（BTR）、學生宿舍與混合用途物業中，無線網路設計常常失敗，因為營運商將家庭用期望與企業級風險混為一談。租戶需要簡單的連線，而營運商則需要嚴格的隔離。

一個可行的模式為：

網路類別	存取模式	允許存取範圍
租戶存取	租戶專屬身分或設定檔	網際網路與核准的住戶服務
大樓營運	託管裝置身分	僅限必要的內部系統
訪客/公共區域 WiFi	獨立訪客路徑	僅限網際網路
承包商存取	具時間限制的原則	僅限特定應用程式或支援服務

防火牆規則比 VLAN 圖表更重要

團隊通常只進行到 VLAN 設計就認為工作已完成，但那只完成了一半的工作。

您的防火牆規則應該要能回答以下問題：

訪客裝置除了網際網路路徑外，還能存取其他任何地方嗎？
IoT 裝置是否可以對使用者網路發起工作階段？
員工裝置是否只能透過核准的連接埠與服務來存取受保護的應用程式？
某個租戶網路是否能看見另一個租戶網路？
登入系統在與身分識別服務進行通訊時，是否不會廣泛暴露這些服務？

當原則只是默許而非強制執行時，網路分段就會宣告失敗。

良好的架構不會假設裝置都會規矩運作，而是假設部分裝置不會，並據此限制損害。這就是為什麼在任何存在臨時使用者、未託管裝置或混合信任級別的環境中，網路分段對於如何提高 WiFi 安全性至關重要的原因。

自動化安全登入與存取管理

手動進行 WiFi 管理在遇到員工離職、BYOD、承包商、訪客以及跨多個據點的舊型裝置時，根本難以維持。人員離職。裝置汰換。臨時權限因沒人記得移除而變成永久權限。

自動化透過連結身分、驗證和網路原則來解決此問題。

員工存取權應遵循身分生命週期

當新員工入職時，其 WiFi 存取權的產生，應與建立其商務帳戶的身分流程同步。當他們調動團隊時，原則應自動更新。當他們離職時，存取權應立即停止，而不需要任何人四處尋找舊密碼或過期的 MAC 項目。

這就是為什麼成熟的部署會將無線存取權，與組織中已在使用的身分識別提供者（例如 Entra ID、Google Workspace 或 Okta）進行綁定。其結果是更乾淨的入職流程、更少的手動例外情況以及中央撤銷機制。

A ten-step diagram illustrating the process of automating secure employee onboarding and identity access management workflows.

如果您正在評估有關原則強制執行和身分導向准入的協調選項，這些網路存取控制解決方案展示了您在無線網路周圍所需、更廣泛的控制層，而不僅僅是無線電本身。

不同的使用者群組需要不同的入職路徑

單一工作流程很少適用於所有人。請針對不同的信任層級使用不同的方法。

託管的員工裝置 應使用憑證型或目錄型驗證，以將使用者阻力降至最低。
BYOD 使用者 需要受控的註冊流程，以套用限制性原則和明確的過期或審查條件。
訪客需要輕鬆存取，而無需加入員工信任網域。
舊型裝置 需要具有嚴格限制權限的例外處理。

這也是單一平台選項可簡化部署之處。Purple 支援 WPA2/3-Enterprise 存取、SSO 支援的驗證、Passpoint/OpenRoaming 以及適用於舊型裝置的 iPSK ，這非常適合那些試圖取代共用密碼，而又不想將所有內容建構在內部部署 RADIUS 和 Captive Portal 工作流程周圍的環境。

Passpoint 與無密碼訪客存取

傳統的訪客 WiFi 通常會強迫使用者通過 Captive Portal 和共用密碼，然後將他們置於隔離的網際網路路徑上。這雖然可行，但很笨拙，且仍會制約組織以「訪客密碼」的思維來思考問題。

更好的模式是透過 Passpoint 或相關漫遊架構進行無密碼上網，此時身分交換會乾淨俐落地完成，且流量從連線階段開始就進行加密。這不僅能提高安全性，還能改善使用者體驗。這也能減少飯店櫃檯的工作量、減輕零售團隊的壓力，並減少醫療機構候診區或交通樞紐的摩擦。

優秀的上網引導免除了使用者流程中對共享密鑰的依賴，也免去了管理團隊的手動清理工作。

在不削弱標準的情況下處理例外狀況

並非每台裝置都支援 802.1X。印表機、專業掃描器、智慧電視、數位看板播放器和某些維運裝置仍然落後。這並不代表您必須對整個環境退而求其次使用單一密碼。

對於這些裝置，請使用個別裝置的方法（例如 iPSK），然後將各個憑證綁定至正確的區段，並限制其可存取的範圍。如果有一台裝置遭到入侵，您只需撤銷該裝置即可。您不需要輪替整個網路的憑證。

自動化在此非常重要，因為規模會改變一切。少數的例外狀況可以用人工處理。但在跨物業、場館或園區中有數百個例外狀況時，試算表就會開始產生安全債務。

建立主動監控與事件回應机制

WiFi 安全性在營運階段失敗的頻率往往高於設計階段。

企業可以部署 802.1X、將訪客與員工進行區隔，並以身分為導向的存取取代共享密碼，但卻會因為無人留意偏差而失去控制。憑證過期。臨時 SSID 在活動結束後依然存在。租戶在共享空間中新增了未託管的 AP。原則變更導致裝置進入錯誤的區段。在大型場館和多租戶物業中，這些失敗非常常見，因為無線網路是不斷變化的。

什麼需要持續監控

首先從與存取控制和原則執行相關的訊號開始，而不僅僅是正常運行時間。

重點關注：

來自 RADIUS、身分識別提供者或雲端 NAC 平台的驗證成功與失敗
控制器、AP、交換器和閘道器上的管理登入與組態變更
在核准的變更空檔之外建立的新 SSID、原則物件或例外規則
顯示使用者或裝置落入錯誤角色、VLAN 或原則群組的用戶端分配模式
跨站點與物業的 AP 健康狀況、韌體狀態和控制器同步狀態

驗證失敗需要結合情境來看。突發的失敗可能是憑證更新後的支援問題，或是與單一登入 (SSO) 相關的上網引導錯誤。這也可能是憑證濫用、裝置複製或影響整個使用者群組的原則範圍設定錯誤的早期證據。

重點很簡單。監控決定誰能取得存取權、如何取得以及其後續導向何處的控制措施。

偵測流氓 AP（Rogue AP）是一項常規控制措施

流氓 AP 仍然是在設計良好的無線環境中，最容易造成安全漏洞的原因之一。它們並不總是惡意的。在實際情況中，許多是出於便利。員工插上低成本的路由器來解決收訊死角。承包商在活動結束後遺留了橋接器。租戶在共用建築中安裝消費級設備，並建立了一個繞過您的身分驗證和分段策略的未託管路徑。

這就是為什麼定期的射頻（RF）和基礎架構檢查應屬於日常營運，而非年度稽核。在問題區域進行配置審查、交換器連接埠檢查和實地走訪的同時，執行針對流氓存取點和訊號異常的 WiFi 掃描。

流氓 AP 之所以重要，是因為它繞過了您在其他地方所做的身分與策略決策。

建立 WiFi 專屬的應變劇本

通用的 SOC 運作手冊是不夠的。無線網路事件需要與無線故障模式相匹配的行動。

使用簡單的劇本結構：

識別事件
確認問題是流氓 AP、憑證失效、策略偏離、異常身分驗證活動，還是來自無線網路分段的可疑橫向移動。
圍堵暴露
停用 SSID、撤銷憑證、隔離端點、移除交換器連接埠，或從控制器中封鎖該 AP。
保存證據
保留控制器記錄、RADIUS 交易、身分識別提供者事件、配置快照和變更記錄。
追踪存取路徑
確定是哪個身分進行了驗證、套用了哪個策略、分配了哪個分段，以及該裝置可以到達何處。
修復控制漏洞
消除根本原因。如果臨時註冊路徑沒有過期限制，則新增過期限制。如果租戶連接埠允許未託管的設備，則收緊連接埠策略。

在企業和訪客環境中，應變速度至關重要，因為一個微小的例外漏洞就可能同時影響許多使用者。配置錯誤的員工 SSID 可能會廣泛暴露內部存取。訪客策略錯誤可能會破壞整個場地的隔離。共用密碼模式會讓圍堵變得更加困難，因為沒有單一的身分可以撤銷。基於身分的存取能為團隊提供更清晰的應變路徑。

稽核人們遺忘的事項

最高價值的檢查通常是營運維護工作：

稽核項目	為什麼重要
舊版加密演算法審查	舊設定會在系統遷移後保留，並削弱較新的策略標準
訪客路徑驗證	訪客流量的隔離程度通常低於設計所預期
驗證伺服器設定	此處的偏差會破壞保障
AP 庫存對帳	未知或已更換的硬體會隨著時間推移而出現
例外裝置審查	臨時允許通常會變成永久許可

將 WiFi 監控視為存取控制營運的一部分。在企業、訪客和多租戶環境中，這就是團隊保持身分識別、分段和例外處理與設計一致的方法。

您的 WiFi 安全行動清單

共用密碼仍然主導著太多 WiFi 部署。在企業、訪客和多租戶環境中，這種模式正是問題所在。實用的解決方案是用身分識別、策略和快速撤銷來取代廣泛的共用存取。

使用以下清單來對您運行的實際環境進行壓力測試，而不是設計圖面上顯示的環境。

餐旅與訪客密集的場域

在策略層分離訪客與員工存取。員工裝置、POS、PMS 和後勤系統應採用不同的驗證方式，並落入不同的網路區段。
淘汰列印的共用密碼。使用 captive onboarding、在適當情況下使用 SSO、針對支援的流程使用 Passpoint/OpenRoaming，以及針對員工使用基於身分識別的存取。
隔離客房和場域裝置。電視、看板、溫控器、鎖和其他 IoT 系統需要嚴格限制範圍的存取，而不是廣泛的本地可見性。
為臨時存取設定到期日和擁有權。活動網路、會議變更和承包商存取應有指定的負責人和自動結束日期。
從使用者端進行測試。以訪客身分連線並驗證可到達哪些地方。對員工、承包商和客房裝置進行相同的測試。

企業與園區 IT

針對員工存取使用 WPA2-Enterprise 或 WPA3-Enterprise 搭配 802.1X。
將 WiFi 存取與身分生命週期流程綁定。新員工能快速獲得正確的存取權限。離職使用者能快速失去存取權限。
針對託管端點優先採用基於憑證的驗證。這能降低網路釣魚風險，並避免輪替共用密鑰的支援負擔。
將 BYOD 與託管存取分開。不同的裝置信任層級應對應不同的策略、不同的 VLAN 或角色，以及不同的目的地。
移除舊的協定和加密演算法例外狀況。如果某個舊型裝置仍需要較弱的設定，請將其移至受控路徑，而不是降低主要環境的安全強度。

多租戶物業與住宅營運

在設計上保持每個租戶隔離。一個公寓、辦公室或住戶網路不應具有對另一個網路的橫向存取權限。
將大樓營運系統與租戶存取完全隔離。攝影機、電梯、門禁系統、計量儀表和機房系統需要各自獨立且經過身分驗證的存取路徑與受限的系統管理模式。
針對無法使用現代化使用者身分驗證的硬體設備，核發專屬的單一裝置憑證。如此一來，管理團隊便能在需要時針對特定裝置進行權限撤銷與稽核。
根據時間與目的地限制外部承包商的存取權限。維護供應商極少需要廣泛的網路存取權限，也極少需要長時間使用網路。
定期審查未受控管或遭遺棄的設備。租戶自行安裝的設備、替換用的 AP 以及被遺忘的交換器，都會在短時間內改變整體網路安全風險。

適用於任何環境的通用檢查清單

更改所有預設的系統管理員憑證
停用未主動使用的 WPS、UPnP 和遠端管理功能
確保 AP、控制器、閘道器和 RADIUS 基礎架構皆運行於受支援的軟體版本上
掃描並偵測非法存取點（Rogue AP）與未授權的 SSID
驗證指派的策略、網路區段及可存取資源是否與架構設計一致
每月審查例外清單。暫時放行的權限往往是安全漏洞流於永久的温床

如果您的目標是在 2026 年提升 WiFi 安全性，請先從「誰能存取」、「如何進行存取身分驗證」以及「撤銷存取權限的速度有多快」著手。在網路邊緣，密碼強度依然重要；然而在大型場域中，身分識別、網路分段和受控的引導加入流程則更為關鍵。

如果您正計畫淘汰共用密碼，並為訪客、員工或租戶改用基於身分識別的 WiFi 存取， Purple 是一個值得評估的選擇。我們支援企業級身分驗證、基於單一登入 (SSO) 的引導加入流程、Passpoint/OpenRoaming，以及適用於舊版硬體的專屬單一裝置存取模式。這能協助大型場域與分散式企業實現 WiFi 安全現代化，擺脫對傳統共用憑證的依賴。