21Jul
WPA2 mit einem starken Passwort ist sicher, solange Sie WPS deaktivieren. Sie finden diesen Ratschlag in Anleitungen zur Sicherung Ihres Wi-Fi im gesamten Internet. Wi-Fi Protected Setup war eine gute Idee, aber es ist ein Fehler.
Ihr Router unterstützt wahrscheinlich WPS und ist wahrscheinlich standardmäßig aktiviert. Wie UPnP ist dies eine unsichere Funktion, die Ihr drahtloses Netzwerk anfälliger für Angriffe macht.
Was ist Wi-Fi-geschütztes Setup?
Die meisten privaten Benutzer sollten WPA2-Personal, auch bekannt als WPA2-PSK, verwenden. Der "PSK" steht für "pre-shared key". Sie richten eine drahtlose Passphrase auf Ihrem Router ein und stellen dann dieselbe Passphrase auf jedem Gerät bereit, das Sie mit Ihrem WLAN-Netzwerk verbinden. Dies gibt Ihnen im Wesentlichen ein Passwort, das Ihr Wi-Fi-Netzwerk vor unbefugtem Zugriff schützt. Der Router leitet einen Verschlüsselungsschlüssel aus Ihrer Passphrase ab, mit dem er den Datenverkehr im drahtlosen Netzwerk verschlüsselt, um sicherzustellen, dass Personen ohne den Schlüssel ihn nicht belauschen können.
Dies kann etwas unangenehm sein, da Sie Ihr Passwort bei jedem neuen Gerät, das Sie verbinden, eingeben müssen. Wi-Fi Protected Setup( WPS) wurde erstellt, um dieses Problem zu lösen. Wenn Sie eine Verbindung zu einem Router herstellen, für den WPS aktiviert ist, wird eine Meldung angezeigt, dass Sie eine einfachere Verbindungsmethode verwenden können, anstatt Ihre WLAN-Passphrase einzugeben.
Warum Wi-Fi Protected Setup unsicher ist
Es gibt mehrere Möglichkeiten, Wi-Fi Protected Setup zu implementieren:
PIN : Der Router verfügt über eine achtstellige PIN, die Sie auf Ihren Geräten eingeben müssen, um eine Verbindung herzustellen. Anstatt die gesamte achtstellige PIN gleichzeitig zu prüfen, überprüft der Router die ersten vier Ziffern getrennt von den letzten vier Ziffern. Dies macht WPS-PINs sehr leicht zu "brute force" durch Erraten verschiedener Kombinationen. Es gibt nur 11.000 vierstellige Codes, und sobald die Brute-Force-Software die ersten vier Ziffern richtig eingegeben hat, kann der Angreifer mit den restlichen Ziffern fortfahren. Viele Consumer-Router verlieren nach einer falschen WPS-PIN keine Zeit, sodass Angreifer immer wieder raten können. Eine WPS-PIN kann in ungefähr einem Tag rohe Gewalt sein.[Source] Jeder kann mit der Software "Reaver" eine WPS-PIN knacken.
Push-Button-Connect : Anstatt eine PIN oder eine Passphrase einzugeben, können Sie einfach eine physische Taste am Router drücken, nachdem Sie eine Verbindung hergestellt haben.(Die Schaltfläche kann auch eine Softwaretaste auf einem Setup-Bildschirm sein.) Dies ist sicherer, da Geräte nur nach dem Drücken der Taste oder nach dem Verbinden einzelner Geräte für einige Minuten eine Verbindung mit dieser Methode herstellen können. Es wird nicht aktiv und verfügbar sein, um die ganze Zeit auszunutzen, wie eine WPS PIN ist. Push-Button-Connect scheint weitgehend sicher zu sein, mit der einzigen Sicherheitslücke, dass jeder mit physischem Zugriff auf den Router den Button drücken und eine Verbindung herstellen kann, auch wenn er die WLAN-Passphrase nicht kennt.
-PIN ist obligatorisch
Während die Push-Button-Verbindung sicher ist, ist die PIN-Authentifizierungsmethode die obligatorische Basismethode, die alle zertifizierten WPS-Geräte unterstützen müssen. Das stimmt - die WPS-Spezifikation schreibt vor, dass Geräte die unsicherste Methode der Authentifizierung implementieren müssen.
Router-Hersteller können dieses Sicherheitsproblem nicht beheben, da die WPS-Spezifikation eine unsichere Methode zum Überprüfen von PINs erfordert. Jedes Gerät, das Wi-Fi Protected Setup in Übereinstimmung mit der Spezifikation implementiert, ist anfällig. Die Spezifikation selbst ist nicht gut.
Können Sie WPS deaktivieren?
Es gibt verschiedene Arten von Routern.
- Einige Router erlauben es nicht, WPS zu deaktivieren, und bieten dazu keine Option in ihren Konfigurationsschnittstellen an.
- Einige Router bieten eine Option zum Deaktivieren von WPS, aber diese Option macht nichts und WPS ist weiterhin ohne Ihr Wissen aktiviert. Im Jahr 2012 wurde dieser Fehler auf "jedem Linksys und Cisco Valet Wireless Access Point. .. getestet." [Quelle]
- Einige Router können Sie entweder deaktivieren oder aktivieren WPS, bietet keine Auswahl an Authentifizierungsmethoden.
- Bei einigen Routern können Sie die PIN-basierte WPS-Authentifizierung deaktivieren, während Sie weiterhin die Push-Button-Authentifizierung verwenden.
- Manche Router unterstützen WPS überhaupt nicht. Dies sind wahrscheinlich die sichersten.
So deaktivieren Sie WPS
Wenn Ihr Router das Deaktivieren von WPS ermöglicht, finden Sie diese Option wahrscheinlich in der webbasierten Konfigurationsoberfläche unter Wi-Fi Protected Setup oder WPS.
Sie sollten die PIN-basierte Authentifizierungsoption zumindest deaktivieren. Auf vielen Geräten können Sie nur auswählen, ob WPS aktiviert oder deaktiviert werden soll. Wählen Sie WPS zu deaktivieren, wenn dies die einzige Möglichkeit ist, die Sie vornehmen können.
Wir würden uns Sorgen machen, dass WPS aktiviert bleiben sollte, selbst wenn die PIN-Option deaktiviert zu sein scheint. Angesichts der schrecklichen Liste von Router-Herstellern, wenn es um WPS und andere unsichere Features wie UPnP geht, ist es nicht möglich, dass einige WPS-Implementierungen auch weiterhin PIN-basierte Authentifizierung verfügbar machen würden, selbst wenn sie deaktiviert schien?
Sicher, theoretisch könnte WPS aktiviert sein, solange die PIN-basierte Authentifizierung deaktiviert ist, aber warum sollten Sie das Risiko eingehen? Mit WPS können Sie sich einfacher mit Wi-Fi verbinden. Wenn Sie eine Passphrase erstellen, an die Sie sich leicht erinnern können, sollten Sie in der Lage sein, sich genauso schnell zu verbinden. Und das ist nur ein Problem beim ersten Mal - sobald Sie ein Gerät einmal verbunden haben, sollten Sie es nicht noch einmal machen müssen. WPS ist sehr riskant für eine Funktion, die einen so kleinen Vorteil bietet.
Bildquelle: Jeff Keyzer auf Flickr