Meines Erachtens ist sinnvoll, für WPA2-PSKs mindestens 20 Zeichen, besser die Maximallänge zu nutzen und den Schlüssel in der Nähe des Access Points/Routers zu notieren. Schliesslich wird man nicht täglich neue Geräte hinzufügen, und wer physischen Zugang zum Access Point hat, kann sich ohnehin auch Zugang zum Netzwerk verschaffen. Ausserdem sollte man WPS deaktivieren, da die WPS-PINs wesentlich schwächer und teilweise sogar für Online-Angriffe anfällig sind:
.
Das Verstecken der SSID und aktivieren des MAC-Filters hilft kaum, ein deaktivierter SSID-Broadcast kann in bestimmten Fällen sogar zu einer Angreifbarkeit führen, da er die Einrichtung von Honeypot-APs mit gleicher SSID erleichtert. Ausserdem kann ein deaktivierter SSID-Broadcast zu Problemen führen, während die SSID nach wie vor geleakt wird (vgl.
). Sinnvoll ist allerdings, sicherzustellen, dass die SSID keine Informationen über die verwendete Hardware enthält, insbesondere keine Informationen über Seriennummern o.ä., aus welchen sich (zusammen mit der MAC-Adresse des APs) Standard-WPS-PIN oder Standard-WPA-Schlüssel ableiten liessen.
Beim MAC-Filter gilt ähnliches - ihn zu aktivieren, bietet keinerlei Schutz, da man eine autorisierte MAC-Adresse eines anderen Netzwerkteilnehmers trivial mitlesen und (auch ohne Einschränkungen für den Betroffenen) nutzen kann.
Die einzige tatsächlich wirksame und mit üblicher Verbraucher-Hardware ohne Weiteres umsetzbare Schutzmassnahme ist die Verwendung von WPA2 mit einem selbst festgelegten, sicheren Schlüssel.
Beachtet auch, dass man von einem effizienten Brute-Force-Angriff auf ein bestimmtes Verfahren nicht auf einen ähnlich effizienten Angriff auf ein anderes Verfahren schliessen kann. Windows-Passwort-Hashes, wie im von The_Emperor genannten Fall, lassen sich tatsächlich sehr effizient angreifen, insbesondere dann, wenn man sowohl LM- als auch NT-Hash hat, erst den
, und dann die gewonnen Informationen zum Angriff auf den NT-Hash nutzt. Ausserdem lassen sich aufgrund der fehlenden Salts sehr effizient vorberechnete Rainbow-Tables nutzen, sowohl für LM- wie auch für NT-Hashes. Ein Angriff auf einen äquivalenten WPA-2-Schlüssel wäre um diverse Grössenordnungen langsamer.
Cee ya, CCS
