Se le password possono essere rubate su Wifi aperto dipende se la password viene trasmessa in primo luogo e se i dati vengono trasmessi in chiaro.
I dati sono trasmessi in chiaro?
Se si utilizza https anziché http per tutti i dati (come nel caso di Gmail), i dati non vengono trasmessi in chiaro. Ciò significa che è improbabile che un utente malintenzionato possa accedere al traffico normale, anche se un sistema non sicuro è aperto agli attacchi MITM (come avere il certificato SuperFish installato) o un utente che ignora ciecamente gli avvisi dei certificati può ancora portare a un uomo di successo nell'attacco centrale e quindi all'intercettazione del traffico non criptato.
Nota anche che tutto il traffico significativo deve essere protetto con https. Questo non solo include la pagina principale ma anche qualsiasi script o CSS incorporato. Fortunatamente i browser moderni bloccano semplicemente i contenuti misti non sicuri per impostazione predefinita, ovvero non caricare Javascript tramite http se è incluso in una pagina https.
La password è stata inviata?
La maggior parte delle applicazioni oggi ha una finestra di accesso separata che richiede la password una volta per sessione e quindi trasferisce solo lo stato dell'utente specifico (ovvero connesso o meno e altre informazioni) utilizzando un ID di sessione. In questo caso la password non può essere facilmente annusata poiché non viene trasmessa in primo luogo. Tuttavia, l'ID sessione è in molti casi prezioso quanto la password stessa e consente a un utente malintenzionato di impersonare l'utente anche se la password stessa è sconosciuta all'utente malintenzionato.
E, se l'attaccante può annusare il traffico (cioè senza https ma solo http), spesso può anche modificare il traffico. Ciò significa che l'utente malintenzionato potrebbe modificarlo in modo tale che la sessione corrente venga invalidata e le applicazioni Web chiedono nuovamente la password. Se è abilitato il riempimento automatico delle password, questo potrebbe anche essere fatto senza che l'utente se ne accorga (dipende dal browser).
E poi ci sono alcuni siti che non usano la loro propria pagina di login ma usano invece l'autenticazione di base compilata nei browser. In questo caso, il nome utente e la password vengono trasmessi all'interno dell'intestazione della richiesta HTTP per ogni richiesta e possono essere facilmente estratti se la connessione non è protetta.
Salvo se non visito il sito quando utilizzo un Wifi aperto?
No, non lo sei. Se l'utente malintenzionato può modificare del traffico, può ingannare il browser in modo che possa visitare qualsiasi sito desideri e ottenere così l'accesso a qualsiasi password o ID di sessione trasmessi in chiaro. E se fatto in modo intelligente, potresti anche non accorgertene. Vedi ad esempio PoisonTap per come estrarre rapidamente le informazioni da un browser. Mentre questo attacco specifico utilizza Ethernet via USB, può essere fatto allo stesso modo all'interno di un Wifi controllato da un attaccante (che potrebbe essere qualsiasi Wifi aperto).
Inoltre, sono possibili attacchi più complessi come l'inquinamento della cache del browser che potrebbe portare l'utente malintenzionato a controllare parte della tua navigazione anche se non sei più loggato nel Wifi aperto.
Che cosa posso fare per proteggermi?
Non utilizzare affatto il WiFi aperto.
In alternativa, usa una VPN ma assicurati che la VPN sia effettivamente attiva dall'inizio. Ciò potrebbe non essere possibile in tutti i casi poiché molti Wifi aperti richiedono innanzitutto di riconoscere i loro termini di servizio. I sistemi mobili come Android spesso rilevano tali portali in cattività e gestiscono questo per te aprendo la pagina vincolata in un browser separato, ma su Desktop solitamente sei da solo. Inoltre, alcuni WiFi aperti bloccano semplicemente il traffico VPN.