Länge des WLAN-Schlüssels

[PaRaDoX]

Kurze Vorgeschichte:

Mein WLAN ist mit 64 Zeichen, bestehend aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen, gesichert.
Bisher funktionierte auch immer alles problemlos, doch nun wollte ich meinen Fernseher (einen LG) verbinden und der akzeptiert "nur" 30 Zeichen als Schlüssel.
Den Schlüssel zu kürzen ist kein Problem und werd ich auch machen, aber als ich plötzlich vor dem Problem stand stellte sich mir folgende Frage:

Wie lang ist eine ausreichend sicherer WLAN-Schlüssel (bestehend aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen)?

Ich glaube o.g. ist schon etwas paranoid oder? Bei der Einrichtung war meine Devise "safety first".

 

[thom53281]

Meiner Meinung nach sollten >12 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ausreichend sein. Wobei "sicher" ja sowieso immer relativ ist. Aber ich denke, selbst Dein Nachbar sollte da nicht mehr genug Zeit aufbringen können, den Schlüssel mittels Bruteforce zu knacken.

Wobei man hier auch immer bedenken sollte, dass bei einem Bruteforce-Angriff jedes eingegebene Passwort theoretisch das richtige sein könnte. Das heißt, mit jeder Menge Glück könnte der Angreifer das Passwort in Stunden knacken, obwohl es in der Theorie >600 Jahre dauern würde. Aber, je länger und komplexer das Passwort, umso unwahrscheinlicher.


Grüße
Thomas

 

[The_Emperor]

Die einfachsten Methoden sind immer noch die besten, denn mit denen Rechnen keine Kiddies:

# SSID-Broadcast abschalten
# MAC-Adressen Filter aktivieren

Wenn du jetzt noch das WLAN zusätzlich mit WPA2-PSK verschlüsselst bist du sicher unterwegs.

 

[Schwarzhut]

Mein WLAN Passwort hat 6 Zeichen

Ich hab mir mal den Spaß erlaubt und meinen gesamten Blog gescannt um zu schauen was für Signale ich empfangen kann. Das waren 19 WLAN Signale und ich hab keine 3 Stunden gebraucht um bei allen rein zu kommen
Nebenbei erwähnt waren noch WLAN Drucker dabei und sonstiges..

 

[PaRaDoX]

You do not have permission to view link please Anmelden or Registrieren

Dabei habe ich so eine schöne SSID: "Der Van gegenüber"!
MAC-Filter ist aber aktiviert, schaden kanns nicht.

You do not have permission to view link please Anmelden or Registrieren

Willst du damit sagen alle 19 Netzwerke waren ungesichert oder sehr schwach verschlüsselt?
Nebenbei heißt es im obigen Kontext wohl eher "Block"! *klugscheiß*

 

[Schwarzhut]

Ich hab vorläufig JohnTheRipper benutzt und auf meinem starken Rechner parallel Bruteforce laufen lassen

 

[PaRaDoX]

You do not have permission to view link please Anmelden or Registrieren

Dann stehen ja die Chancen bei mir nicht schlecht. Fast nur Rentner um mich rum, teils mit WEP!

BTT: Habe den Schlüssel mittlerweile auf 30 Zeichen geändert. Scheint mir immernoch lang genug.

 

[Schwarzhut]

Kannst du auch machen

Musst dir aber sicher sein das der Nachbar keine Familie hat, sonst wird es sehr böse

 

[Kenobi van Gin]

# SSID-Broadcast abschalten
# MAC-Adressen Filter aktivieren

Um Kiddies abzuschrecken mag das reichen. Man sollte nur im Hinterkopf behalten, dass die Sicherheit des Netzes wenn es um Kriminelle geht, die wirklich reinwollen, durch diese Maßnahmen kaum erhöht wird.

 

[PaRaDoX]

You do not have permission to view link please Anmelden or Registrieren

Echt wohl?

Okay, SSID verstecken kann ich nachvollziehen. Aber dass ein MAC-Filter nix weiter bringen soll?
Klär mich mal bitte auf.

 

[The_Emperor]

...wenn es um Kriminelle geht, die wirklich reinwollen...

Wenn kriminelle wirklich wo reinwollen werden die sich sicher nicht die Mühe machen deine MAC zu spoofen, die SSID zu erraten, dein WLAN mit einem Sniffer scannen und den WLAN-Chunk per Bruteforce bearbeiten und ein paar Stunden oder Tage zu warten bis das Passwort am Bildschirm aufblinkt. Da brechen die eher bei dir ein, klatschen dich nieder und hängen sich per Kabel in's Netz.

 

[Schwarzhut]

Wenn kriminelle wirklich wo reinwollen werden die sich sicher nicht die Mühe machen deine MAC zu spoofen, die SSID zu erraten, dein WLAN mit einem Sniffer scannen und den WLAN-Chunk per Bruteforce bearbeiten und ein paar Stunden oder Tage zu warten bis das Passwort am Bildschirm aufblinkt. Da brechen die eher bei dir ein, klatschen dich nieder und hängen sich per Kabel in's Netz.

Also das ist mit Abstand der beste Satz den ich jemals gehört hab

 

[Kenobi van Gin]

Ich sage nicht "nix". Aber dem Rechner zumindest temporär eine andere MAC zu verpassen ist ja kein Kunststück. Die Schwierigkeit besteht dann maximal darin, eine passende MAC rauszufinden. Dazu gabs im

You do not have permission to view link please Anmelden or Registrieren

.

[EDIT:]
SSID erraten? Sniffen reicht aus. Was der Router nicht mehr sendet, kommt von den Rechnern, die versuchen, sich mit dem verborgenen Netz zu verbinden.

 

[Opis_Wahn]

# SSID-Broadcast abschalten

Meine SSID heißt aktuell NSA Prism 16... Sollte abstreckend genug sein.


MAC Filter ist natürlich auch aktiv. Das Passwort kann ruhig auch wesentlich kürzer sein. Wichtig beim Passwort ist (natürlich) vorallem willkürlich vorzugehen. Selbst nur 10 Zeichen können schon eine entsprechende Hürde darstellen, woran der Angreifer scheitert da auch solche kurzen Passwörter länger brauchen, um geknackt zu werden.

 

[nik]

Wie bereits oben erwähnt, liefer ein MAC-Filter keinen wirklichen Sicherheitsgewinn.

Man muss sich als Außenstehender nur mal anschauen, welche MAC-Adressen mit dem Netzwerk verbunden sind und kann sich daraus eine Liste der erlauten MAC-Adressen herleiten.

Wichtiger ist da, einen sicheren Verschlüsselungstyp und ein entsprechend starkes Passwort zu verwenden.

 

[turbolader]

Ich zieh einfach jeden abend den stecker, wenn dann jemand rein will muss er durch die tür, dann gibts aber paar mim nudelnolz

 

[Schwarzhut]

Einfache und sichere Lösung

 

[The_Emperor]

Die Sicherheit soll ja auch nicht vom MAC-Adressen Filter alleine kommen. Die Kombination aus dem Filter, dem Verstecken der SSID und dazu noch eine WPA-2 Verschlüsselung machen jeden Einbruch derart zeitraubend das es total unsinnig wird auch nur über einen Einbruch in das WLAn nachzudenken. Ja, man kann eine MAC-Adresse maskieren, ja man kann eine SSID sniffen, ja man kann einen WPA2 Schlüssel knacken, nur reden wir hier von drei Schritten die jeweils etliche einzelne Handgriffe benötigen und auch Tage wenn nicht Wochen dauern um zu irgendeinen Ergebnis zu führen. Ob das Ergebnis dann brauchbar ist, ist wiederum eine ganz andere Frage.

 

[nik]

Du brauchst länger, um den MAC-Adressen-Filter zu konfigurieren, als Dritte brauchen, um sie mitzulesen. Der Konfigurationsaufwand steht also in keinem Verhältnis zum Schutz, den du dadurch hast.

Die Sicherheit des WLan-Netzwerkes steht und fällt mit der Komplexität des Wlan-Passwortes und der Verschlüsselung. Sachen wie MAC-Filter und SSID verstecken sind da nur Spielerei.

 

[PaRaDoX]

Ein Kumpel meinte gestern noch, die Einschränkung der Sendeleistung wäre auch sicherheitsrelevant. So wird der Kreis potentieller Angreifer auf einen engen räumlichen Umkreis eingeschränkt.

Ist jetzt vielleicht nicht der ultimative Sicherheitstipp aber klingt plausibel oder?