WPA3 ist jetzt fertig, es ist das wichtigste WLAN-Update seit langem

WLAN-Netzwerke sind heutzutage omnipräsent, doch die dazugehörigen Sicherheits- bzw. Verschlüsselungsfunktionen werden nur selten auf neuen Hauptversionen aktualisiert. Nun ist es aber wieder einmal so weit, mit WPA3 gibt es das größte Upgrade seit ... mehr... Smartphone, Internet, Wlan, WiFi, Welt Bildquelle: Gerd Altmann/CC0 Smartphone, Internet, Wlan, WiFi, Welt Smartphone, Internet, Wlan, WiFi, Welt Gerd Altmann/CC0

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"durch massenhaftes Ausprobieren ein Passwort zu erraten. Denn nach Fehlversuchen wird Interaktion mit dem Gerät notwendig sein, physischer Zugang zum Router ist dann also erforderlich"

Geil, Admins ärgern leicht gemacht. Damit dürfte der Verbreitungsgrad von WPA 3 in Unternehmen noch schlechter werden als heute WEP.
 
@Memfis: Eine der wirkungsvollsten Absicherungen überhaupt - wenn der Admin ned tippen kann, dann läuft er eben ;-)
 
@Zonediver: Für mich klingt das eher danach, dass wenn jemand zu oft den falschen Key eingibt das WLAN für alle gesperrt wird und erst wieder am Gerät selbst freigeschaufelt werden muss.
 
@Memfis: Mal gespannt, wann der erste mit ner Antenne aufm Rücken durch München radelt und alle APs lahm legt...
 
@Memfis: Das ist doch Käse.. es wird vermutlich lediglich die eine MAC-Adresse gesperrt oder so ähnlich.
 
@bLu3t0oth: Dann kann man es aber einfach umgehen indem man bei jedem Versuch eine andere MAC Adresse vorgaukelt
 
@cathal: Und dann sperrst du eben viele MAC. Im Endeffekt vergoldest du nur deine Zeit mit solchen Aktionen. Außer du kennst eine spezifische MAC und willst diese Person ärgern...naja...wers braucht. Dann kannste auch einfahc mit einem Störgerät durch die Gegend laufen, bringt vermutlich mehr erfolg.
 
@EvilMoe: Du Verstehst nicht was ich meine. Wenn eine MAC bei einem falschen Passwort gesperrt wird nimmt halt für jeden Versuch eine andere und schon bringt das Sperren der MAC nichts mehr.
 
@cathal: Dann werden Positivlisten verwendet. Bietet sogar die Fritzbox an.
 
@MancusNemo: Dann benutzt der Angreifer die MAC des aktiven Nutzers und sperrt ihn auch aus.
 
@ESmazter: Exakt so ist es! Dieser MAC Kram bringt nur was gegen Skript Kiddies.
 
@Memfis: Quatsch. Es wird, wie generell bei APIs und ähnlichem üblich, der Client ausgesperrt, der die fehlerhaften Anmeldungen versucht hat. Das passiert in der Regel nach einer gewissen Anzahl fehlerhaften Anmeldungen innerhalb einer bestimmten Zeit. Wenn man gesperrt wurde muss der Admin diese Sperre über die Administration des Routers wieder aufheben.
 
@DaveDamage: Macht es nur bedingt besser. Bei uns in der Uni ist das WLAN "Eduroam" an das Active Directory gebunden und dort muss von Zeit zu Zeit das Passwort geändert werden. Logisch, dass mein iPhone dann erstmal raus ist und versucht sich mit dem alten Passwort zu authentifizieren.
 
@Memfis: Das würde doch für jeden Studenten ne eigene SSID bedeuten, oder? Das kann ich mir nicht vorstellen.

Da ist bestimmt eine nachgeschaltete Loginseite, die das abhandelt und dann auf den Routern entsprechende MAC-Filter aktualisiert.
 
@Bautz: Nein, WPA2-Enterprise erlaubt Authentifizierung gegen RADIUS oder LDAP, es braucht nicht mehrere SSIDs, damit jeder sein eigenes Passwort nutzen kann.

@Memfis: Ich traue den Entwicklern zu, dass der WPA3 Client den AP nicht massenhaft mit dem abgelaufenen Kennwort bombadiert, bis er gesperrt wird, ist auch glaube ich schon bei WPA2 nicht der Fall. Der Client versucht es einmal und wenn er "falsches Passwort" als Antwort kriegt, muss der Nutzer halt das neue eingeben.
 
@Memfis:
Das ist WLAN mit Radius-Server.
Habe ich sogar zu Hause so eingerichtet.

Will man es noch sicherer machen arbeitet man mit Zertifikaten und nicht mit Username und Passwort.
Am Server muss dann für jedes Gerät ein Zertifikat erstellt werden.
Das installiert man auf dem Gerät und dann verbindet es so mit dem WLAN.
Wenn jetzt ein Gerät nicht mehr ins WLAN kommen soll, muss der Admin nur das Zertifikat deaktiveiren oder löschen.
Die Installation des Zertifikates geht nur mit Eingabe eines Passwortes.
So kann das nur die IT und nicht irgendjemand der, warum auch immer, ein Zertifikat in die Hand bekommt.
 
@flocke74: Das ist sehr einfach für jemanden der sich etwas auskennt, und ich denke das ich mein WLAN so zuhause umstellen werde, ist auf jede fall die einfachste aber dafür sicherste Lösung erst einmal.
 
@aecro: Ok, ich hatte davon gelesen, dachte aber das wäre immer erst für WPA3 gewesen.
 
@Memfis: Halte ich für unwahrscheinlich. Das wäre eine wahnsinnige Sicherheitslücke, weil du mit einem RasbPi an der Battery durch die Straße fahren könntest um alle WLANs der Nachbarschaft lahmzulegen. Eine triviale Denial-Of-Service-Lücke.
 
@dpazra: Geht noch einfacher, mit dem Ping of Death im W-Lan. Einfach das Abmeldepaket verschicken im Brute Force an alles und schön flodden. Das W-Lan ist dann tot! Dieser Baustein gibts für 50 cent.
 
@Zonediver: Nur noch schlanke Admins in den Unternehmen... :-)
 
@Zonediver: Das macht er zwei mal, dann stellt er wieder auf andere Verfahren um.
 
@Memfis: Ich glaube du hast das nicht verstanden: Bei WPA2 konnte man Datenverkehr capturen und an Hand von diesem, offline den Schlüssel ermitteln.

Genau das geht dann bei WPA3 nicht mehr, denn man muss mit dem AP verbunden sein, um das tun zu können. Der AP verhindert dies dann aber, wenn zuviele Versuche fehlschlagen.

Kein Admin muss sich physisch vor dem AP befinden und irgendwas tun.
 
Ein 3 Jahre alter Tp Link Router kriegt dass Update eh nicht mehr. Davon haben wieder nur mal die Leute was die dass neuste vom neusten und viel zu teures haben.
 
@Andre Passut: Genau. Und deshalb sollten wir am besten alle Neuerungen und Verbesserungen sein lassen. Ein Pferd stirbt schließlich auch, wenn ich es mit Diesel füttere!
 
@Andre Passut: Vodafone-Kunden werden auch kein Update bekommen... :(
 
@Andre Passut: OpenWrt oder dergleichen mal probiert? Da wird WPA3-Support bestimmt hinzugefügt. https://openwrt.org/toh/start bzw. DD-Wrt: https://dd-wrt.com
 
@Andre Passut: Selbst wenn der Router das Update erhalten würde: In den nächsten Jahren wird sich in den allermeisten Haushalten ohnehin noch mindestens ein Nicht-WPA3-kompatibles Gerät befinden, sprich, die meisten werden noch lange Zeit WPA2 nutzen (müssen).
 
@BartS: "WPA3-Geräte werden aber abwärtskompatibel zu WPA2 sein, man ist also nicht auf den neuen Standard festgelegt." < man sollte schon alles lesen
 
@FireDaddy: hmmm, das heißt doch nur dass sich ein wpa3 client gegen ein wpa2 wlan verbinden kann, nicht aber ein wpa2 gerät gegen ein wpa3 wlan, oder?
 
@michi1337: Exakt. Solange man nur ein einziges WLAN-Gerät nutzt, das nicht WPA3-kompatibel ist, muss man bei WPA2 bleiben.
 
@michi1337: Nein. Das heißt man kann ein WPA 3 WLAN betreiben und mit einem WPA 2 Client verbinden. Der AP handelt die Verbindung automatisch abwertskompatibel aus.

Auch heute kann man bei AP WPA 1 / WPA 2 auswählen und der AP handelt das richtige Protokoll aus. Mal kann aber auch nur WPA 2 zulassen und WPA 1 verbieten. Das Gleiche wird bei WPA 3 möglich sein.
 
@FireDaddy: Richtig, aber was willst du damit sagen?
 
Zu den wichtigsten Features von WPA3 gehört ein Schutz gegen Brute Force-Attacken, es wird nicht mehr möglich sein, durch massenhaftes Ausprobieren ein Passwort zu erraten.

Wie lange dauert es denn per Brute Force "j>7k,N{p3J1P;[*$6jK4:g{9G;["B1J5a;/d3B." zu knacken?
 
@Paradise: Gegenfrage: Wieviele Versuche braucht es, dieses Passwort fehlerfrei einzutippen?
 
@webmantz: In der Regel einen.
Muss man ja nur einmal machen...
Aber per Passwortmanager geht auch copy & paste.
 
@Paradise:

It would take a computer about
161 OCTODECILLION (10^108) YEARS
to crack your password

https://howsecureismypassword.net/
 
@wertzuiop123: Na so lange wird wohl keiner vor meiner Haustür stehen um ein privates WLAN zu knacken :D
 
@Paradise: na dann viel spass bis man das sch*** pw auf jesem. client eingetippt hat selbst da wo man keine Tastatur hat...
 
@skrApy: Wie viel WLAN Geräte hast Du?
Ich maximal 10 und hab es überlebt das Passwort einzugeben.

Sch.... pw? Ich empfehle:
https://www.grc.com/passwords.htm
 
@Paradise: ja mach das, ich habe e8n e8nfaches und mein leben ist um ein punkt einfacher als deines, und trz hats noch niemand geknackt xD
 
@Paradise: Niemand muss vor der Haustür stehen um ein WLAN mit WPA 2 zu knacken. Man captured einige Sekunden Traffic und knackt den dann offline wo auch immer man will.

Es stehen aber auch viele Exploits zur Verfügung, mit denen man ggf. in Sekunden Zugriff erlangt. Dazu muss die Hardware aber direkt angreifbar sein.
 
@Paradise: Lange... Aber machbar.
Im Jahr 2000 musste ich mal eine Ecxel-Tabelle hacken. 4 Monate und 16 Tage brauchte ein Tool mit 32.000 Kombinationen pro Sek (Pentium I). Und ich hatte Glück, dass das Passwort mit einem "A" begann.
Und nein, es ging nicht einfacher. Alle die Besserwisser haben sich damals als sehr inkompetent erwiesen.
 
@Kobold-HH: ist nicht lange her, da hatte ich auch so eine Sache. Im Internet hatte ich ein Skript gefunden welches per Bruteforce das Passwort (Zahlen und Buchstaben mit 10 Zeichen länge) auf einem 7 Jahre alten Notebook in weniger als 1 Minute geknackt hat.

Ja das Excel-File gehörte zu uns, nur das Passwort wurde vergessen über die Jahre.

Edit: Es handelte sich um ein Blattschutz in Excel und das Skript von Ulrich Hanke hat geholfen (ich setze keinen Link, aber das sollte mit dem Namen über Google leicht zu fidnen sein)
 
@tapo: Mit Hashcat geht es häufig in wenigen Sekunden mit einer Einstiegsgrafikkarte.
 
@floerido: Heute sicher schneller. Aber im Jahr 2000 mit 32Bit-Technologie und einem Pentium I mit 233 MHz brauchte das schon mehrere Monate.
 
@Kobold-HH: Es war eine Reaktion auf das oben genannte Skript. Das Bruteforce-Tool Hashcat bietet dank OpenCL und CUDA hier eine Vielzahl von Möglichkeiten. Gerade bei geschützten Office-Dokumenten hat Microsoft hier häufiger etwas geändert, weshalb Lösungen für eine bestimmte Office-Version nicht zu anderen kompatibel ist.
 
@floerido: Mag sein, dass es so no schneller geht, aber dafür ist es auch deutlich komplizierter und kann nicht mal eben durch Laien durchgeführt werden.
 
@Paradise: strg c , strg v ... je nach Finger Geschwindigkeit zwischen 5 Sekunden und 1 Minute
 
@xerex.exe: und wenn du das Passwort in keinem Passwort-Manager oder sonstwo abgelegt hast?
 
@tapo: es ging um dieses Passwort da oben. Da es dort steht kopiere ich es einfach.
 
@xerex.exe: ups sorry da bin ich astrein in der Zeile verrutscht ^^
 
Ich werde mir, sobald es neu ist einfach bei der Telekom zur miete ein neues gerät geben lassen und sagen das mein zu der Zeit dann "alter Router" nicht mehr ganz funktioniert. Als Magenta 1 Kunde machen die sowas ohne große Meckereien.
 
@CodeZero1990: Und alle alten WLAN Klienten entsorgen damit es dir was bringt?
 
@Paradise: Stimmt das habe ich nicht bedacht, ABER dann habe ich schon vorgesorgt. Denn bis dahin ist mein Handy mehr als 4 Jahre alt und mein Laptop auch mehr als 7 Jahre, dann lohnt es sich auch um den dreh sowieso bald neue Geräte zu besorgen. Also passt dieser Zeitrahmen.
 
@CodeZero1990: Ich nutze hier Geräte die sind 10 Jahre alt und werden auch noch so lange genutzt bis sie den Geist aufgeben.

Aber falls man nur ein paar alte Klienten hat die selten genutzt werden kann man sich ja noch einen älteren AP hinstellen und diesen nur einschalten wenn er gebraucht wird.
 
Ubiquiti bring für die Gen2+ Hardware dieses Jahr noch Updates für WPA3. Dass es für Gen1 Hardware auch was gibt, würde ich nicht ausschließen.
 
@shiversc: Yep, deren Zeug ist echt heißer Schieß! :)
 
@MancusNemo: Nicht alles. Hab auch ne Cam von denen und für den Preis nicht wirklich toll. Die Software des Videorekorders kann man ganz vergessen.

Das einzig wirklich gute an den Cams ist der WAF.
 
@Paradise: Die Können nur WLan gut, sonst nix.
 
Nichts als Profitgier, genau so wie mit DVB-T2 &#4314;(&#3232;&#30410;&#3232;)&#4314;
 
@Murphie: was hat dvb-t2 damit zu tun?
Es zwingt dich keiner für zusätzliche HD-sender zu zahlen ;)
Ich mach es nicht und bin glücklich mit dem was ich 'kostenlos' habe.
 
Zu den wichtigsten Features von WPA3 gehört ein Schutz gegen Brute Force-Attacken, es wird nicht mehr möglich sein, durch massenhaftes Ausprobieren ein Passwort zu erraten. Denn nach Fehlversuchen wird Interaktion mit dem Gerät notwendig sein, physischer Zugang zum Router ist dann also erforderlich.
---

Toll wenn ich jemanden Ärgern will brauch ich nur paar mal Fehlversuche machen und schon ist sein Wlan abgeschaltet .
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles