Wieoft WLAN Passwort ändern?
Einer unserer Zeitarbeiter, der an einem Langzeit-Projekt (er will es in einem halben Jahr schaffen...) arbeitet, hasst mich wegen der wöchentlichen Änderung des WiFi-Passworts für das Zeitarbeiter-WLAN... Ich will durch die Änderung verhindern, dass sich das Passwort iwi in der Nachbarschaft rumspricht... Iwi hat man ja eine Sorgfaltspflicht... Ich hab mir auch schon ein bash-Script geschrieben, dass die 10 APs automatisch umkonfiguriert...
Nebenfrage: Kann es sein, dass WLAN-Passwörter nach ein paar Gigabytes von einem Nachbarn geknackt werden? Ich nehme immer 8 random bytes und schicke sie durch base64... Also rainbow table geht da nicht...
Das Ergebnis basiert auf 19 Abstimmungen
6 Antworten
Das hängt von mehreren Faktoren ab, ob und wie oft das Passwort geändert werden sollte.
Wenn es jemand absichtlich unberechtigt weitergibt, dann kann er das auch schon nach einem Tag machen und auch in einer Woche kann viel passieren.
Also scheint es mir besser, das Passwort nur aus gegebenen Anlass oder einmal im Jahr zu ändern und die übrigen Sicherheiten zu nutzen:
- Protokoll einschalten und vom Gerät an eine extra eingerichtet E-Mail-Adresse senden zu lassen. Da werden alle Aktionen, Änderungen, auch Erstanmeldungen protokolliert.
Das kann dann nach Bedarf, gerne auch täglich, geprüft werden, um Auffälligkeiten zu entdecken.
- Das automatische Anmelden von neuen Geräten sperren. Bei einem neuen Gerät schalte die Sperre kurz aus und nach dessen Erstanmeldung wieder ein.
Es lassen sich auch, falls ein Anlass wie Aussonderung vorliegt, auch Geräte aus der Liste löschen, die sich dann trotz bekannten Passworts nicht mehr anmelden können.
Mit was verbinden die sich den? Wenn nicht gerade jemand MAC-Spoofing betreibt, dann bleibt die MAC bei den Geräten gleich.
Was man da am besten macht, hängt auch davon ab, um wieviel Geräte es dabei handelt und zu welchem Zweck sich die Geräte verbinden.
Ein Internetzugang ist was anderes als per VPN mit dem Firmennetzwerk zu verbinden.
Die Wechselhäufigkeit der Zeitarbeiter spielt auch eine Rolle. Wenn die sich jederzeit mit beliebigen neuen Handys anmelden dürfen, dann macht eine Sperre für neue Geräte keinen Sinn.
Da muss man sich schon was überlegen, den Aufwand möglichst klein und halten, ohne die Sicherheit zu gefährden.
Auch biometrische Mittel können in die überlegungen einfließen.
Die Einstellungen müssen am Router vorgenommen werden, der teilt auch die IP-Adressen zu.
In der Anmeldeübersicht steht eine Liste, welches Gerät mit MAC und Name gerade verbunden ist.
Im Protokoll stehen auch die MAC-Adressen von unbekannten Geräten, die versucht haben, sich zu verbinden, weil manche Handys und Tablets so eingestellt sind, dass sie sich mit dem nächsten Accesspoint/Router automatisch verbinden wollen.
An den ersten 3 Stellen der MAC lässt sich der Hersteller des Geräts herausfinden.
Die Arbeitszeit wird von einem anderen Model erfasst... der stellt ein Zertifikat aus, wenn die Tagesaufgabe fullfill-t wurde... außerdem wird alles aufgezeichnet, so dass schummeln zwecklos ist...
für die Türen bekommen die einen NFC Chip...
das WLAN brauchen die Zeitarbeiter in ihrer Freizeit, weil die auch hier wohnen, während sie an ihrem Projekt arbeiten...
Das Projekt ist also nicht so sicherheitsrelevant? Dann müsste eine gute Datensicherung schon viel bringen. Wenn jeder sich dann noch persönlich zusätzlich zum WLAN-Passwort anmelden muss, dann bringt das schon Sicherheit.
Die Frage ist, was kann jemand böswillig anstellen, der nur das WLAN-Passwort kennt?
also die Zeitarbeiter SSID kann man nur für das Betrachten der Projektbeschreibung und für das Einpflegen von Arbeitspausen in den Team-Kalender (da gab es mal einen Troll, der mir zeigen wollte, wie unsicher das ist, indem er seine Kollegen alle für den Rest der Woche beurlaubt hat... aber das war nur 1x in 3j...) und für das Internet-Surfen verwenden... die können also nichts an der Haustechnik ändern....
Wer möglichst hohe Sicherheit haben will, nutzt gar kein WLAN als Zugriffsoption auf kritische Infrastruktur.
Für den privaten Internetzugang reicht ein sicheres Passwort, da braucht es keine wöchentliche Änderung.
Wieoft WLAN Passwort ändern?
Egal ob WLAN oder nicht.
Wenn Du ein nach allen Regeln der Kunst sicheres Passwort verwendest, dann besteht keine Notwendigkeit dieses überhaupt zu ändern.
Es bringt bei den dann notwendigen Bruteforce-Attacken nicht wirklich einen Vorteil.
Solange also keine Sicherheitslücke im Verschlüsselungsprotokoll (WPA3/4) bekannt wird: Unnötig.
sieht das da „nach allen Regeln der Kunst sicher“ aus?
7FTQy3xc2xI
rZ4szkB9VBM
OwOo4rYD8yI
sMN37ZNaoEI
bLax05xr2+E
/tPmmygdQsw
O9ZzJhc8pW4
cNhjRZRjKp4
das sind ja nur Beispiele... die verwende ich niemals nie nich für unsere AP... manno... 🥴
ja... ich biete denen immer an, zu mir zu kommen, und den QRcode vom Moni abzuscannen... aber die tippen es lieber ein und sagen es sich gegenseitig... bin voll unbeliebt bei denen... die quatschen mich auch oft auf Polnisch an, um mir zu zeigen, dass ich nich alles kann...
Ehrlich gesagt ziemlich unnötig.
Zum einen lässt sich Wpa2 nicht so leicht knacken, zum anderen muss auch erstmal jemand daran Interesse haben es zu versuchen.
Würde wenn dann maximal 1-2x im Jahr das Kennwort ändern, oder aber jedem User einfach einen separaten Zugang geben wenn bei euch machbar.
Interesse
die laufen mir manchmal bis in den Supermarkt nach und spotten offensichtlich über meinen Job und wollen wissen, was wir genau machen...
Es bringt nichts das Passwort zu ändern, ein gutes und sicheres ist nicht besser oder schlechter als ein anderes.
Du könntes ja auch kein Wlanpasswort benutzen, sondern Wlan-Identifikation, wo jeder einen Benutzernamen und ein Passwort heist, ich weis gerade aber nicht wie das heißt.
Könnte WPA-Industrial/Professional oder so sein.
Oder MAC Filter.
- MAC Filter geht nich, weil die Polen ihre MAC alle spoofen...
- das mit den Benutzernamen werde ich wohl machen... dann zeige ich jedem Neuen seinen WLAN-QRcode... den soll er dann mit seinem phone scannen...
- ich dachte eben, dass sich das Passwort iwann rumgesprochen hat, weil die manchmal ins Gespräch kommen mit den Nachbarn...
zu 3: die könnten der Polizei ne lange Nase (also ein Selfie von sich, wo sie sowas machen...) schicken... und dann denkt die wieder, dass es der Luke war und durchsucht mir meine Kondom Tüte... voll eklig... mit so komischen stichfesten Mehrweg Handschuhen...
du meinst, ich soll jeden neuen Zeitarbeiter in die MAC Liste im Router eintragen?
wie identifiziert der AP ein bestimmtes Gerät? die kommen doch dauernd mit ner anderen MAC angedackelt...