Gescheiterter Einlogversuch WLAN (Dritter)

[areiland]

@Tada100
Bei dieser Fragestellung bist nicht Du das Maß, an dem gemessen werden muss - sondern der TE, der ganz offensichtlich nicht mit den nötigen Hintergrundkenntnissen ausgestattet ist. Und deshalb muss man solche Hinweise klar stellen, weil sie den TE nur in einer trügerischen Sicherheit wiegen würden. Es wird nämlich rein gar nichts unsichtbar und wenn es nur ein einziges Wlan mit ausgeblendeter SSID gibt, dann ist ohnehin nichts an zusätzlicher Sicherheit gewonnen.

Selbst ein Wlan, dessen SSID ausgeblendet wurde, lässt sich eindeutig identifizieren und zwar schon mit Windows Bordmitteln.

 

[tollertyp]

MAC-.Filter schadet dann, wenn du selbst neue Geräte im WLAN anmelden willst. So lange du dir dessen immer bewusst bist - okay.

Aus meiner Sicht ist es unkomfortabel und bringt in Bezug auf Sicherheit nun mal gar nichts. Wer WPA2 knackt, der lacht über einen MAC-Filter. Ähnlich wie bei viele Kopierschutzmechanismen stören sich die ehrlichen Leute da mehr dran. Manche stört es mehr, manche weniger.

 

[BeBur]

Die WPA2 Sicherheit hängt komplett am Passwort, also wenn du @kontofuerge dir Sorgen machst, dann sorge für ein sicheres Passwort. 12 Zeichen ist zu wenig.
Wie ich das mache: Sätze mit Satzzeichen und Englisch/Deutsch gemischt und/oder mit simplen Fantasieworten, z.B. (Ifyoucan.tyoucanstillVERSUCHEN)

WPA3 kannst du machen, aber mit sicherem Passwort ist auch WPA2 hinreichend sicher. Der Rest ist in erster Linie Show.

 

[kontofuerge]

Schade, dass einem die Fritzbox bei Erstellung des PWs dann bei 12 anzeigt "sehr sicher". :/

---

Korrektur, sind 14 Stellen. Also meins . Keine Worte, Einzelbuchstaben (groß, klein), Zahlen.

 

[Madman1209]

Hi,

@Madman1209
WPA3 ist weswegen rausgekommen, genau weil WPA2 unsicher ist!"
Nicht weil sie dachten WPA2 ist sicher genug also schaded ein 3ter WPA standart nicht.
Dazu bringt es schon etwas das Wlan unsichtbar zu machen und es auf bekannte geräte mit Ip-ranage
zu begrenzen, da die agrifftsfläche sink. Zwar nur ein wenig, aber besser als garnix.

/null-byte.wonderhowto.com/how-to

da kannst du viel nachlesen zu verschieden themen, unteranderem Wlan sicherheit

weil ein Nachfolger kommt ist die aktuelle Version sofort unsicher? Interessante Weltanschauung. Bitte einen konkreten Fall, wo WPA2 erfolgreich als Angriffsvektor genutzt wurde. Bin sehr gespannt.

Abgesehen davon: nein, es bringt eben absolut gar nichts. Nicht "besser als garnix", sondern garnix. Eher verschlimmert es alles.

Und auf so einer "How To" Seite brauch ich nach 15 Jahren in dem Bereich nicht mehr nachlesen, vielen Dank.

Es bleibt dabei:

• WPA2 ist aktuell absolut ausreichend sicher
• sichere Kennwörter verwenden
• ruhig schlafen

VG,
Mad

 

[Ranayna]

Ein MAC Filter und die SSID zu verstecken bringt deswegen nichts, weil sowohl die SSID, als auch eine MAC die im Filter steht, bei jeder aufgebauten Verbindung im Klartext durch die Luft schwirrt.
Man muss also nur lange genug mitlesen, und bekommt beides praesentiert.
Um man kann auch jederzeit einen Verbindungsversuch ausloesen: Einmal kurz das Spektrum stoeren, das Wlan "hustet" einmal kurz, und die Clients verbinden sich dann wieder.
Dem User wird das nicht auffallen, denn gelegendliche Aussetzer sind im WLAN eh normal.

Dann kann der Hacker entweder warten bis eine MAC wieder verschwindet, gibt sich diese selber, und kann dann versuchen sich damit anzumelden. Oder er schickt de-auth Packete. Dann trennt der betroffene Client die Verbindung, und solange die Attacke laeuft kann er sich auch nicht mehr verbinden. Der Laie schimpft ueber das beschissen funktionierende WLAN, aber eine Attacke duerfte den wenigsten in den Sinn kommen.
Zu diesem Zeitpunkt ist nur noch das Passwort ein Hindernis.
Bei WEP ist dieses trivial zu entschluesseln. Bei WPA(2) mit TKIP gehts auch ziemlich schnell. WPA 2 mit AES und CCMP ist hinreichend sicher, solange das Passwort nicht gebruteforced werden kann.

Frueher war es auch so, ob das inzwischen anders ist weiss ich nicht, das Geraete bei denen eine Verbindung zu einer verstecken SSID mit automatischer Verbindung eingerichtet ist, die Namen dieser SSIDs bei jedem Verbindungsversuch zu irgendeinem WLAN durch die Luft gebruellt haben. Hast du also eine versteckte SSID, die aber einen eindeutigen Namen hat, hatte das sogar den negativen Effekt.

 

[Tada100]

du meinst auf bekannte geräte mit mac range

Ich meinte die Ip range im Netzwerk, kommt aber aufs gleiche heraus. Es erhöcht einwenig die Sicherheit.

@areiland ​

Wieso unterstellst du mir jetzt das ich das maß der Dinge wäre nur weil ich geschrieben habe das Wlan bzw. dessen SSID nicht öffentlich zu machen. Mir ist bewusst das der TE evtl. nicht soviel ahnung von
WLAN technik bzw. allgemein davon versteht.

Dennoch kann ich das nur annehem, wissen tue ich es definitiv nicht!
Das "unsichbar" schalten der SSID soll dabei helfen das andere Leute nicht zufällig oder ausversehen
versuchen sich zu verbieden.

Was wer wo klarstellen muss ist auch so eine sache, viele der verwendeten begriffe lassen sich nachschlagen und somit verstehen wenn man sich die Zeit nimmt!
Deswegen finde ich es nicht verwerflich davon auszugehen das der Te dazu lernen möchte bzw.
dazu in der Lage ist. Alles vorkauen macht kein schlau.

Und das eine ausgeschaltete WLAN SSID nicht bedeutet das man sicher ist ist mir auch bewusst...



@Madman1209
Hast du dir die Seite null-byte.wonder-how-to/ angeguckt ?
Schätze mal nicht, zwar hast du recht das ein WPA2 Passwort das lang genug ist ein schweres Ziel darstellt, dennoch ist WLAN/WPA2 dadurch nicht per se sicher.
WP2 gilt nicht mehr als sicher, da es schon unteranderem per KEY attack , WPS Pin , pmkid attack ,
geknackt wurde.
Auch belieb einfach per MIM den Datenverkehr abhöcheren.

Werde darauf aber hier nicht eingehen, da es zu ausläufig wird und das falsche forum ist.

@kontofuerge ​

Umso länger und komplexer (Sonderzeichen, Großklein/schrift,Ausgedachte Wörter, Zahlen, )
desto besser. Der aufwand für den Profi ist es meist nicht umbedingt wert
sich den aufwand zu machen das Wlan eines Privatanwenders zu kompromieren, also erstmal ruhig blut.

 

[BeBur]

Schade, dass einem die Fritzbox bei Erstellung des PWs dann bei 12 anzeigt "sehr sicher". :/

Ich glaube ich habe mich schlicht vertan (8 mit 12 verwechselt ) und 12 Zeichen ist sicher FALLS es sich nicht um simpel zu erratene Kombinationen handelt. Beispiele:

• Zahlen ans Passwort angehängt
• Geburtsdatum
• Name oder sonstige öffentliche Information
• Passwort besteht ausschließlich aus Worten (z.B. "pferdhauskugel")

Solcherlei verringern ganz drastisch die Sicherheit des Passwortes und machen es sehr einfach es zu brechen.

Solange du aber 12 Zeichen verwendest, die in diesem Sinne nicht leicht zu 'erraten' sind, dürfte das ausreichen.

WP2 gilt nicht mehr als sicher

Bitte Quelle angeben für die Aussage: "WPA2 gilt nicht mehr als sicher". Ich denke, dafür lässt sich keine finden, WPA2 gilt weiterhin als sicher.

Der aufwand für den Profi ist es meist nicht umbedingt wert

Der Aufwand ist auch für einen engagierten Laien eher gering, wenn das Passwort unsicher bzw. zu kurz ist.

 

[Madman1209]

Hi,

Schätze mal nicht, zwar hast du recht das ein WPA2 Passwort das lang genug ist ein schweres Ziel darstellt, dennoch ist WLAN/WPA2 dadurch nicht per se sicher.

wie definierst du "sicher"? Unknackbar? Gibt es abgesehen vom OneTimePad mathematisch nicht.

Also bitte konkret: was genau ist unsicher an WPA2?

WP2 gilt nicht mehr als sicher, da es schon unteranderem per KEY attack , WPS Pin , pmkid attack ,
geknackt wurde.

Quellenangabe bitte, in der ich nachlesen kann, dass WPA2 "geknackt" wurde.

Auch belieb einfach per MIM den Datenverkehr abhöcheren.

ähm... und was genau hat eine MITM mit WPA2 zu tun? Richtig. Gar nichts.

Werde darauf aber hier nicht eingehen, da es zu ausläufig wird und das falsche forum ist.

alles klar, genau das habe ich auch erwartet...

Lass bitte einfach die unqualifizierten Äußerungen mit denen du unbedarften Nutzern nicht nur unbegründet Panik machst sondern auch noch technisch falsche Aussagen in den Raum stellst.

VG,
Mad

 

[kontofuerge]

Laut MAC Suche war es ein Samsung Gerät. Ich nutze Samsung Geräte. Dort kann man bei neusten Softwareoptionen aussuchen, ob man eine zufällige MAC Adresse für Netzwerke generieren kann. Das habe ich eigentlich ausgestellt bzw. es wäre bereits schonmal aufgetreten, wenn es das regelmäßig tun würde.

Das Gerät verliert allerdings regelmäßig die WLAN Verbindung. Ob das am Router, Gerät, Wohnung, anderen Signalen auf selben Kanal liegt, weiß ich nicht.

 

[areiland]

Wieso unterstellst du mir jetzt das ich das maß der Dinge wäre nur weil ich geschrieben habe das Wlan bzw. dessen SSID nicht öffentlich zu machen.

Ich unterstelle rein gar nix, aber ich weise Dich darauf hin, dass man das eingerichtete Wlan gar nicht verbergen kann und man unerfahrene Nutzer nicht mit solchen Hinweisen in einer nicht vorhandenen Sicherheit wiegen soll.

 

[carnival55]

Ich kann nicht verhindern, dass fremde versuchen sich in mein WLAN einzuloggen. Was würdet ihr in dieser Situation machen?

Stell einen Freifunk-(Wlan-)Router daneben.
https://freifunk.net/worum-geht-es/

 

[Hayda Ministral]

Ich kann nicht verhindern, dass fremde versuchen sich in mein WLAN einzuloggen. Was würdet ihr in dieser Situation machen?

zulässige Schlüssellänge nutzen.

AVM sagt dazu:

Kennwörter(Passwörter) und Netzwerkschlüssel

• Kennwörter dürfen maximal 32 Zeichen lang sein.
• Netzwerkschlüssel müssen zwischen 8 und 63 Zeichen lang sein.

Ergänzung (11. Februar 2021)

Die Wahrscheinlichkeit, daß jemand ins WLAN einer Privatperson eindringt, ist allerdings extrem niedrig.

Gutes Stichwort. Diese Wahrscheinlichkeit sinkt mit steigender Frequenz des WLAN. Falls ein Login nur inhouse gewünscht ist könnte man WiFi6E in Erwägung ziehen (sobald erhältlich). Das wäre aber nur ein Extrempunkt, 5GHz mit reduzierter Sendeleistung wäre ebenfalls eine Überlegung wert.

 

[tollertyp]

Ich unterstelle rein gar nix, aber ich weise Dich darauf hin, dass man das eingerichtete Wlan gar nicht verbergen kann und man unerfahrene Nutzer nicht mit solchen Hinweisen in einer nicht vorhandenen Sicherheit wiegen soll.

Vor allem, wenn gleichzeitig WPA2 quasi als offenes Scheunentor dargestellt wird.

 

[areiland]

@tollertyp
Und WPA3 schon vor seinem Einsatz als angreifbar entlarvt wurde.

 

[IT-T0bi]

Die SSID auf nicht sichtbar zu stellen wäre vergleichbar mit dem Szenario „ich halte mir die Augen zu und niemand sieht mich“. Außerdem könntest du dann als negatives Phänomen die automatische Kanal-Suche nicht verwenden und somit eine schlechtere Bandbreite erzeugen. Für jemanden der sich nicht Script-Kiddie nennt ist das Umgehen eines MAC-Filters ein Kinderspiel.


WPA2 ist relativ sicher. Es gab vor Jahren mal eine Sicherheitslücke (KRACK) in der Implementierung des Protokolls... Diese sollte aber spätestens mit Win 10 1709 (oh je wie lange ist das her?!) korrigiert worden sein. AVM war auch nie betroffen....

Ein sicheres WLAN-Passort hilft . Heutzutage werden die SSIDs der Fritzboxen eigentlich (nach meinem Kenntnisstand) nicht mehr generisch generiert. Oft haben FritzBoxen noch ein Kürzel aus zwei Buchstaben am Ende, welche die „Eindeutigkeit“ kennzeichnen sollen. Bei zwei Buchstaben gibt es natürlich auch nur knapp 676 Möglichkeiten, aber trotzdem schon ein kleiner Schutz seitens AVM.

Was PMKID angeht, wäre das prinzipiell nur ein Zurückrechnen des Hashes... Sprich eine Brute-Force Attacke die man mit einem ordentlichen Kennwort mindern kann.

Mit ein bisschen technischem Verständnis gehört WPS und UPnP (falls nicht benötigt) auch ausgeschaltet.

Ich habe diese paranoiden Gedanken selbst durch und kann dir nur empfehlen nicht soviel darüber nachzudenken, was passieren könnte Versuche das Leben zu genießen (trotz Corona ). Natürlich ist jedes System angreifbar ohne unseres Wissens (siehe SolarWinds). Selbst Sicherheitsexperten haben dieses Szenario erst einige Zeit später herausgefunden.
Mit einem sicheren Passwort hast du als Privatperson schon mal viel gewonnen. Sollte dieser dann tatsächlich durch Brute-Force ergaunert werden, kannst du dir ziemlich sein, dass der Angriff aktiv auf DICH stattgefunden haben. Sicherheitstechnisch kannst du Vorkehrungen treffen, aber es nicht verhindern. In einem professionellen Netzwerk wäre statt dem PSK einen WPA2-Enterprise Zugang zu stellen eine Möglichkeit.... Das wäre im privaten Umfeld wie auf Spatzen mit Kanonen schießen.
Sonst hilft nur WLAN aus^^

 

[BeBur]

Wer sorgenvoll in den Logs auf gescheiterte Login-Versuche schaut, der könnte durchaus seine SSID verbergen, damit keine unabsichtlichen Einlogversuche da auftauchen.

Ich vermute hier nach dem was ich hier im Kopf habe was der TE schrieb das einfach eines der Geräte eine unbekannte MAC-Adresse verwenden wollte zwischendurch und das protokolliert worden ist. MAC Filter sollte man da entsprechend einfach ausschalten.

 

[kontofuerge]

Nicht ganz @BeBur

Eigentlich habe ich das bei meinen Geräte mit der öffentlich MAC Adresse ausgestellt. Das war nur der Versuch mir einzureden, dass keine bösen Menschen in mein heimeliges WLAN wollten. Aber das tut dann eigentlich inhaltlich nichts mehr zur Sache.

 

[Hayda Ministral]

@tollertyp
Und WPA3 schon vor seinem Einsatz als angreifbar entlarvt wurde.

Ist mir entgangen. Link bitte.

 

[areiland]

@Hayda Ministral
Ab und zu mal hier die News lesen: https://www.computerbase.de/forum/t...ist-auch-mit-neuem-standard-unsicher.1866462/.