(gelöst) WLAN-Passwort

[guennid]

Gehe ich recht in der Annahme, dass man das voreingestellte WLAN-Passwort eines Plastik-Routers bei der Voreinstellung belassen, oder sogar ein noch simpleres vergeben kann?

Begründung: Ich habe das WLAN-Feature so eingerichtet, dass nur zwei mit MAC eingetragene Geräte es benutzen dürfen. In der WEB-GUI erscheint dieses Passwort eh im Klartext.

Grüße, Günther

[DeletedUserReAsG]

MAC kann man spoofen.

[guennid]

Danke sehr!

Schade. Nachdem ich mich über "spoofen" etwas schlau gemacht habe , werde ich mir dann doch so'n weiteres PW-Monstrum ausdenken!

Grüße, Günther

[DeletedUserReAsG]

Das „originale“ Passwort der Plastikrouter sind ja nur Ziffern, soweit ich mich erinnere? Dann kann man’s problemlos kürzen, indem man auch Buchstaben dazutut. Zwölf Stellen Ziffern/Kleinbuchstaben/Großbuchstaben sollten es ausreichend absichern, und das Passwort gibt man ja nun in der Regel auch nicht bei jedem Verbindungsaufbau manuell ein.

[guennid]

Das „originale“ Passwort der Plastikrouter sind ja nur Ziffern, soweit ich mich erinnere?

Irgendwo habe ich mal gelesen, dass niemand sowas hier bestätigen oder bestreiten sollte.

Ansonsten, dein Rat ist mir immer willkommen.

Mir geht's auch weniger um die "Mühen des Eingebens", als darum, dass es mir langsam zu viele "gute" werden. Ich brauche den "Spickzettel" zu oft. Ich verwalte die PWs nach wie vor nach Altväter-Sitte auf Zettel (ich glaube, das hatten wir schon mal ), insbesondere weil ich skeptisch bin, 1., ob eine Verwaltungssoftware gegenüber meinem "Zettel" wesentliche Erleichterung bringen würde und 2. ob die nicht neue Unsicherheiten aufreißt (the winner takes it all). - Aber das ist ein anderes Thema.

Grüße, Günther

[MSfree]

Gehe ich recht in der Annahme, dass man das voreingestellte WLAN-Passwort eines Plastik-Routers bei der Voreinstellung belassen

Dem voreingestellten WLAN-Paßwort solltest du grundsätzlich nicht trauen. Es gab schon zu viele Fälle in der Wildnis, bei denen das Werkspaßwort aus irgendwelchen Gerätedaten (z.B. die trotz WEP/WPA immer im Klartext sichtbare MAC-Adresse) berechenbar ist, und die dazu nötige Formel in die Öffentlichkeit gelangt ist. Insofern ist es eigentlich erste Bürgerpflicht, das Paßwort sofort nach Inbetriebnahme zu ändern.

oder sogar ein noch simpleres vergeben kann?

Nunja, ein 10-stelliges Paßwort, das sich aus A-Za-z0-9 zusammensetzt, also Zeichen, die man auf jeder Tastatur unabhängig vom Layout eintippen kann, bietet 8.4e17 Kombinationsmöglichkeiten. Wenn der WLAN-Accesspoint 10 Anmeldungen pro Sekunde zuläßt, schneller sind die keinesfalls, dann braucht ein vor der Haustür stehender Angreifer 2.7 Millarden Jahren zum Durchprobieren aller Möglichkeiten.

OK, wenn jemand den verschlüsselten Verkehr aufzeichnet und dann die Entschlüsselung mit 1 Millionen gemieteten AWS-Instanzen zu knacken versucht, kann er das vermutlich innerhalb 1-2 Tagen schaffen. Amazon will dafür allerdings rund 300000$ pro Tag sehen.

Ich habe das WLAN-Feature so eingerichtet, dass nur zwei mit MAC eingetragene Geräte es benutzen dürfen.

MAC-Sperren sind völlig wirkungslos und lassen einen in falscher Sicherheit wiegen. Ich rate jedem, den Quatsch nicht einzuschalten.

[BenutzerGa4gooPh]

Authentifizierung einschränken: Nur WPA2-PSK/AES als "state of the art"!!! (Oder hast du sehr alte Clients, dann Pgh.)

Für WPA und WPA2 sind bis jetzt nur Passwort-Angriffe bekannt. Aus diesem Grund ist es dringend zu empfehlen, ein ausreichend langes Passwort (mind. 20 Zeichen lang mit Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen) zu verwenden, das möglichst auch nicht vollständig aus sinnvollen Wörtern besteht (siehe Wörterbuchangriff). Einige Hersteller ermöglichen, durch proprietäre Verfahren den Passwortschlüssel mit einem USB-Stick auf die anzuschließenden Clients zu übertragen, dieser braucht nach der einmaligen Installation nicht mehr geändert zu werden. Ein mit ausreichend langem Passwort geschützter Wireless-Router mit WPA2-Verschlüsselung und CCMP sowie deaktiviertem WPS[1] gilt aus heutiger Sicht im Unterschied zu WEP als relativ sicher.

https://de.m.wikipedia.org/wiki/WPA2

Aktives WPS ("Knopfbedienung und Fernsteuerung" mittels neuer Client) und UPnP sind bequem. Und unsicher. Abschalten?!

Lustig wird es, wenn der Nachbar einen Accesspoint mit offenem WLAN und deiner SSID aufstellt und deine Client sich automatisch dort einbuchen. Hier die Anleitungen für den Nachbarn:
http://www.elektronik-kompendium.de/sit ... 109181.htm
Richtige Aluhuete nutzen ausschließlich Kabel.

[Lord_Carlos]

WPA2 knackt man indem man ein Handshake aufzeichnet. Das passiert wenn sich ein "richtiger" benutzter mit dem Wlan verbindet.
Dann knackt man das offline mit Hilfe von GPUs, guten Woerterlisten und anpassungs Regeln. Also so das automatisch nicht nur "passwort" sondern auch "passw0rt" getestet wird.

Wenn ich das hier richtig verstehe kann man mit 8x 1080gtx um die 3.1 millionen Passwoerter pro Sekunde versuchen.
Aber wer macht sich so eine Arbeit fuer ein privates Netzwerk?

Anyhow, zwei+ Woerter Kombinieren und dazwischen noch eine Zahl/Sonderzeichen und gut ist. Wichtig. Nicht ein Buchstaben mit einer Zahl ersetzten, sondern in das Wort eine Zahl rein bauen. z.B. Kindergar1966tenMetropolis. Seltene Woerder sind zu bevorzugen.

Mehr Details (auf English):
https://www.youtube.com/watch?v=3NjQ9b3pgIg - Richtige Passwort Wahl.
https://www.youtube.com/watch?v=7U-RbOKanYs - Generel wie man Passwoerter Knackt.

[TomL]

MAC-Sperren sind völlig wirkungslos und lassen einen in falscher Sicherheit wiegen. Ich rate jedem, den Quatsch nicht einzuschalten.

Könntest Du das bitte begründen? "Nicht einzuschalten" ist imho ein durchaus sinnvoller Rat, wenn "einschalten" tatsächlich schädlich wäre. Aber das sehe ich hierbei überhaupt nicht. Die MAC-Sperren eines Routers sind m.E. definitiv keine schädliche Einstellung, sondern allenfalls eine, deren Sicherheit mit einiger Sachkenntnis möglicherweise überwunden werden kann.

Das ist doch totaler Quatsch jemanden i.ü.S. zu raten, das einfache Türschloss an der Wohnungstür gar nicht erst abzusperren, weils einen Profieinbrecher eh nicht abhält. Natürlich hält es den nicht ab. Aber es hält definitiv stümperhafte Gelegenheitstäter ab.... ebenso wie die MAC-Sperre beim Router. Ich rate deshalb immer, diese zu nutzen... weils einfach nur ein zusätzlicher Schutz ist, der eben bei der virtuellen Attacke zusätzlich überwunden werden muss. Und wenns letztlich nur dazu taugt, um zu verhindern, dass unsere leichtsinnigen Kiddies ihr Smartphone durch andere Hände bei der Musikauswahl auf die Bluetooth-Box wandern lassen, dann ist diese Sperre schon sinvoll.

Ich bin nun mal wirklich gespannt auf Deine Erklärung, wie sich das "Einschalten" unberücksichtigt von anderen Schutzmaßnahmen tatsächlich schädlich auswirken kann, so dass man von der Nutzung abraten muss.

[Lord_Carlos]

Er sagt ja nicht das es Schaedlich ist, nur das es voellig wirkungslos gegen Angreifer ist. Jeder der WPA knacken kann, weis auch wie man die Mac Adresse wechselt.

Kein Sicherheitsgewinn, aber deutlich umstaendlicher wenn man ein Geraet hinzufuegen will. Auch wenn es nur kurz ist, z.B. Fuer gaeste die fix was auf dem Smartphone googlen wollen.
Deswegen wuerde ich von einem Mac filter fuer den allgemeinen Buerger auch abraten. Hier gibt es sicher Benutzter die da Irgendwie eine Verwendung finden.

Das mit dem Bluetooth verstehe ich nicht.

Edit: Das Tuerschloss ist ja schon da: WPA2.

[TomL]

Es ist aber nicht damit getan, eine MAC-Adresse zu wechseln, Du musst vorher herausfinden, welches gültige MACs sind. Dazu muss man dann vermutlich Traffic gültiger Geräte abhören. Und dazu ist es natürlich wieder notwendig, Zeit mitzubringen und darauf zu warten, dass sich jemand anmeldet. Sicher kann man das knacken.... es bedeutet aber eben Zeit und Aufwand. Und wenn tagsüber niemand zuhause ist, oder nachts kein Traffic besteht, gibts auch nix mitzuhören. Ich halte das also durchaus für sinnvoll.

Bluetooth hat damit nur insofern zu tun, dass die Handys bei den Kids auch schon mal rumgereicht werden, weil jemand eine bestimmte MP3 auf der Bose-Box hören will. Und dann brauchts nur 3 Klicks und der neugierige Schnüffler ist im WLAN-Menu und sieht das Passwort in Reinschrift. Er kommt dann aber mit seinem eigenen Handy trotzdem nicht in unser Netz, auch nicht mit dem erschlichenen Password.

[Lord_Carlos]

Es ist aber nicht damit getan, eine MAC-Adresse zu wechseln, Du musst vorher herausfinden, welches gültige MACs sind. Dazu muss man dann vermutlich Traffic gültiger Geräte abhören. Und dazu ist es natürlich wieder notwendig, Zeit mitzubringen und darauf zu warten, dass sich jemand anmeldet. Sicher kann man das knacken.... es bedeutet aber eben Zeit und Aufwand. Und wenn tagsüber niemand zuhause ist, oder nachts kein Traffic besteht, gibts auch nix mitzuhören. Ich halte das also durchaus für sinnvoll.

Wie willst du denn das Passwort knacken ohne traffic abgefangen zu haben?

Bluetooth hat damit nur insofern zu tun, dass die Handys bei den Kids auch schon mal rumgereicht werden, weil jemand eine bestimmte MP3 auf der Bose-Box hören will. Und dann brauchts nur 3 Klicks und der neugierige Schnüffler ist im WLAN-Menu und sieht das Passwort in Reinschrift. Er kommt dann aber mit seinem eigenen Handy trotzdem nicht in unser Netz, auch nicht mit dem erschlichenen Password.

Jop, das ist ein solider Anwendungs zweck. Ich Persoehnlich haette aber auch nichts dagegen wenn Gaeste ins Wlan kommen. Ggf ein Gaeste W-lan einrichten, ohne mac filter.

[guennid]

Schöne Expertenrunde hier! Mich beschleicht allerdings der Verdacht, dass manche da glauben, sie hätten die Quadratur des Kreises geschafft.

Auf die MAC-Geschichte hatte mich TomL hingewiesen. Finde ich nach wie vor ganz schlau. Darüber hinaus reichten mir eigentlich niemands Hinweise. Und wie man ein einigermaßen "gutes" Passwort kreiert, glaubte ich auch zu wissen.

Mich tät jetzt mal interessieren, wie man überhaupt an die MAC eines Gerätes, das sich mit diesem AP(?) verbindet, herankommen will.

Grüße, Günther

[BenutzerGa4gooPh]

Mich tät jetzt mal interessieren, wie man überhaupt an die MAC eines Gerätes, das sich mit diesem AP(?) verbindet, herankommen will.

Z. B. so:

Manche WLAN-Clients verschicken Probe Request auch dann, wenn sie nicht benutzt werden. Zum Beispiel im Standby-Modus. So ein Gerät sendet quasi ständig ein Ortungssignal.
Bei manchen WLAN-Clients ist ein Tracking nur begrenzt möglich, weil es im gesperrten Zustand entweder gar keine oder nur sehr selten Probe Requests verschickt. Allerdings suchen fast alle Clients nach WLANs, wenn man sie aus dem Standby weckt.
...
Alle Probe Requests sind mit der Hardware-Adresse des Clients versehen damit der Access-Point den Response zurückschicken kann.

http://www.elektronik-kompendium.de/sit ... 912141.htm
Gibt sicherlich noch mehr Methoden. Oben hatte ich das schon verlinkt.

Und noch einige ratsame, leicht machbare Sicherheitsvorkehrungen im engen Zusammenhang mit dem Thread-Titel. (Authentifizierung, WPS, UPnP)

[MSfree]

Könntest Du das bitte begründen? "Nicht einzuschalten" ist imho ein durchaus sinnvoller Rat, wenn "einschalten" tatsächlich schädlich wäre. ...
Das ist doch totaler Quatsch jemanden i.ü.S. zu raten, das einfache Türschloss an der Wohnungstür gar nicht erst abzusperren

Die MAC-Sperren sind zwar meistens unschädlich, sie nerven aber, wenn man für jedes neue Geräte die MAC-Adresse im Router freischalten muß. Je nach dem, wie kompromitiert der Rechner ist, der dazu genutzt wird, hat man auch gleich noch die Zugangsdaten für den Router abgephisht.

Schädlich wird es dann, wenn ein findiger Gast den WLAN-Verkehr mit Kismet, Tshark oder ähnlichem belauscht, sich so eine passende MAC-Adresse besorgt und den WPA-Key vom Sohnemann als Gefallen überreicht bekommt. Irgendwann hast du dann zwei Geräte mit der gleichen Mac im Netz, das wird dann schon lustig.

Der Nutzen ist dagegen nicht vorhanden. Er entspricht, um dein Wohnugstüranalogon zu verwenden, einem Pappschild, das man an die ohnehin per WPA abgeschlossene Tür hängt, auf dem steht: "Achtung, abgeschlossen".

Bluetooth hat damit nur insofern zu tun, dass die Handys bei den Kids auch schon mal rumgereicht werden, weil jemand eine bestimmte MP3 auf der Bose-Box hören will. Und dann brauchts nur 3 Klicks und der neugierige Schnüffler ist im WLAN-Menu und sieht das Passwort in Reinschrift. Er kommt dann aber mit seinem eigenen Handy trotzdem nicht in unser Netz, auch nicht mit dem erschlichenen Password.

Das kann ich nun wiederum nicht nachvollziehen. (M)eine Bosebox läßt sich einfach von jedem Handy per Bluetooth verbinden, um Musik abzuspielen. An ein WLAN-Menü komme ich so jedenfalls nicht ran.

[guennid]

Schädlich wird es dann, wenn ein findiger Gast den WLAN-Verkehr mit Kismet, Tshark oder ähnlichem belauscht, sich so eine passende MAC-Adresse besorgt und den WPA-Key vom Sohnemann als Gefallen überreicht bekommt.

Die MAC-Sperren sind zwar meistens unschädlich, sie nerven aber, wenn man für jedes neue Geräte die MAC-Adresse im Router freischalten muß.

Mich nervt das überhaupt nicht.

Wir sollten doch die "Kirche im Dorf lassen". Soweit das mich angeht: Ich wohne in einem 400-Seelen-Dorf. Dicke Bankkonten besitze ich nicht. Die Kinder sind aus dem Haus, die Enkel haben, soweit ich das zu überblicken vermag, keinerlei Hackerambitionen, denen ist jedes Linux schon zu "umständlich". Der AP wird sehr selten benutzt und ist zu 99% abgeschaltet, ebenso wie das WLAN der beiden Clients.

Und da find' ich's einfach gut, das mit den MAC-Adressen zu machen. (Zusätzlich zu 'nem "guten" PW, aber das war nach niemands 1.Beitrag schon klar) und lass mir das gar nicht vermiesen. und - auch wenn es, was mich angeht, möglicherweise Radfahrers Bild von mir auf den Kopf stellt - sage mit Jana:

Richtige Aluhuete nutzen ausschließlich Kabel.

[Lord_Carlos]

Mich tät jetzt mal interessieren, wie man überhaupt an die MAC eines Gerätes, das sich mit diesem AP(?) verbindet, herankommen will.

Genau so wie man den zum Knacken benoetigten Handshake bekommt: airodump-ng laufen lassen, teil des Paketes aircrack-ng
Oder kismet, oder oder oder.

[TomL]

An ein WLAN-Menü komme ich so jedenfalls nicht ran.

Nicht ein einziges unserer Androids hat ein Password fürs WLan-Menu. Man tippt das WLAN-Icon an, öffnet die Netzwerk-Eigenschaften und lässt sich das Password anzeigen. Ist das bei Smartphones mit anderen OS anders? Der Rest des Problems ergibt sich, wenn man mein Vorposting aufmerksam liest.... Stichwort "rumreichen"...

[MSfree]

Ist das bei Smartphones mit anderen OS anders?

Android ist bei mir schon zu lange her. Mein verdammtes iPhone wird immer noch mit aktuellen iOSen versorgt und es will einfach nicht kaputt gehen. iOS zeigt dort jedenfalls nur die IP-Adresse, an den WPA-Schlüssel kommt man überhaupt nicht mehr ran.

Der Rest des Problems ergibt sich, wenn man mein Vorposting aufmerksam liest.... Stichwort "rumreichen"...

Tja, nun ergibt das auch bei mir Sinn

[sbruder]

Bei Android (zumindest bei AOSP) kann man das Passwort als »normaler« Benutzer nach ersmaliger Verbindung nicht mehr sehen. Gibt aber Root-Apps, die das können, wie zum Beispiel den WiFi Key View [1].

[1] https://f-droid.org/repository/browse/? ... ifikeyview

[tegula]

Das „originale“ Passwort der Plastikrouter sind ja nur Ziffern, soweit ich mich erinnere?

Irgendwo habe ich mal gelesen, dass niemand sowas hier bestätigen oder bestreiten sollte.

Ansonsten, dein Rat ist mir immer willkommen.

Mir geht's auch weniger um die "Mühen des Eingebens", als darum, dass es mir langsam zu viele "gute" werden. Ich brauche den "Spickzettel" zu oft. Ich verwalte die PWs nach wie vor nach Altväter-Sitte auf Zettel (ich glaube, das hatten wir schon mal ), insbesondere weil ich skeptisch bin, 1., ob eine Verwaltungssoftware gegenüber meinem "Zettel" wesentliche Erleichterung bringen würde und 2. ob die nicht neue Unsicherheiten aufreißt (the winner takes it all). - Aber das ist ein anderes Thema.

Grüße, Günther

Um dir deine Passwörter zu merken, kannst du z.B. einen Satz aus deinem Passwort bilden und dir diesen Satz merken (nicht aufschreiben). => Jedes Zeichen entspricht dann einem Anfangsbuchstaben bzw. einem Zahlwort im Satz.

Ein Satz - auch wenn er unlogisch und grammatisch falsch sein mag - lässt sich IMHO viel besser merken als das Passwort selbst.

Problematisch bleiben allerdings die Sonderzeichen deines Passwortes. Diese kannst du entweder als Wort ("Heidis Fragezeichen frisst 2 Eier") oder als tatsächliche Satzzeichen in deinem Satz einbauen.

[guennid]

wie man ein einigermaßen "gutes" Passwort kreiert, glaubte ich auch zu wissen.

Es ging mehr darum, ob ein solches hier nötig sei. Aber wie schon geschrieben: Eigentlich ist das Thema gelöst.