Was passiert wenn der Nachbar einen sendestarken Accesspoint betreibt der die Gleiche SSID hat wie mein Router?
Würden dann meine Geräte versuchen sich bei ihm anzumelden und könnte er dadurch mein WLAN-Kennwort herausfinden?
6 Antworten
Sowas hat es sogar schon ungewollt gegeben: Damals haben einige FRITZ!Box-Modelle keine Individuelle Kennung gehabt: Folglich gab es zum Beispiel mehrere Geräte mit der SSID "FRITZ!Box 7490", wobei beide natürlich nicht das gleiche Passwort werksseitig hatten.
Grundsätzlich kann sowas natürlich für eine kurze Netztrennung sorgen, sofern dein Client sich versucht damit zu verbinden und das dann nicht funktioniert.
Dein Passwort ist damit nicht in Gefahr, da das WLAN-Passwort (PSK) nicht nur als Identifikation des Clients gegenüber dem Router gilt sondern auch umgedreht: Dein Client versucht eine Authentifizierung indem es die auszutauschenden Daten mit diesem Passwort verschlüsselt. Sofern der andere Router dieses nicht kennt kann er auch keine Kommunikation aufbauen oder ein erfolgreiches Passwort vortäuschen.
Auch ist nicht einmal ein solcher Fake-AP notwendig um ein Passwort abzugreifen: Es reicht hier völlig aus den WLAN-Verkehr abzuhören und die verschlüsselte Verbindung zu belauschen. Allerdings ist es in beiden Fällen notwendig per Bruteforce das korrekte Passwort zu finden. Selbst wenn man wüßte, dass das Passwort "nur" als 16 Ziffern besteht beschränkt dies die Möglichkeit auch 10.000.000.000.000.000 Möglichkeiten, von einem Passwort wo weder genaue Länge oder enthaltene Buchstaben enthalten sind ist dies also mehr als unwahrscheinlich.
Nein.
Um den Accesspoint über dein Netz einrichten zu können, müsste er zuerst mit deinem Netzwerk Verbindung aufnehmen. Dazu würde er im Voraus bereits das Passwort brauchen. Das geht also nicht so einfach.
Wenn das Passwort schlecht ist, ja, dann geht das theoretisch. Trotz allem: So einfach ist das nicht, wie viele oft sagen. Besteht das Passwort aus zusammenhanglosen Zeichen/Buchstaben etc, bedarf es schon vertieftem Wissen und ein wenig Zeit. Der Duchschnittshacker wird das so nicht hinkiegen (...und falls es einer behauptet, soll er es dir schnell beweisen).
Für den Hacker, der es in akzeptabler Zeit schaffen könnte, ist deine Leitung eher uninteressant. Also wirst du gar nie von einem solchen Hacker attakiert. Er müsste ja in Empfangsreichweite leben.
Aber Achtung: Deine sicherheit hängt natürlich auch davon ab, ob du die nötigen Sicherheitsregeln ein wenig beachtest. Beispielsweise solltest du das Standart-Passwort für deien Router ändern.
Als Beispiel: Wenn ich mit deinem Netzwerk verbunden wäre, hätte ich zwar noch nicht zwingend Zugriff auf angeschlossene Geräte oder das Internet, aber ich hätte dann durchaus Zugriff auf den Router selbst! Dieser widerum lässt sich dann von mir recht einfach modifizieren, wenn ich per Router-IP direkt darauf zugreife. Die meisten User lassen die Standart-Anmeldedaten des Routers bestehen. Das ist natürlich grob fahrlässig! In der Regel sind die Zugriffsinformationen nämlich sowas wie User: admin und Pass: admin oder User: admin und Pass: 1234. Diese Standart-Daten müssen natürlich zwingend von dir geändert werden! Denn die IP des Routers ist auch nicht gerade schwer rauszukriegen... in der Regel ist das sowas wie 192.168.0.1, eventuell anstelle der 1 eine 2 oder so. Kennt man den Hersteller des Routers lassen sich die Standartzugriffsdaten (per Google) sehr leicht und in Seknden eruieren!
Die Geräte würden versuchen sich in das Netz einzuwählen - allerdings ohne Passwort an der Authentifizierung scheitern. Dein Passwort kann er so jedenfalls nicht herausfinden - dies wird verschlüsselt mit WPA2 übertragen.
In Deutschland dürfen keine Router oder Access-Points ungeschützt laufen - WPA2 ist Pflicht.
Falls du dir Sorgen machst das er doch Zugriff bekommen sollte:
Verbiete dem Router neue Geräte (per Wlan) anzumelden. Bei einer Fritz.Box geht das mit einem Klick.
"In Deutschland dürfen keine Router oder Access-Points ungeschützt laufen - WPA2 ist Pflicht."
Wie kommst Du auf die Idee? Natürlich darf ein offenes WLAN betrieben werden.
Das Ganze nennt sich "Evil-Twin". Der Angreifer erstellt einen Access-Point mit selber SSID und MAC - Adresse. Amschließend sendet er dem Opfer sog. " de-auth" -Pakete. Diese Pakete zwingen die Opfergeräte vom eigenen Wlan-Netzwerk abzumelden. Dann kommt Evil-Twin ins Spiel.
Die Geräte versuchen sich nun erneut anzumelden (de-auth -Pakete laufen immer noch) und irgendwann melden sie sich beim Evil-Twin Netzwerk an und der Angreifer kann die Traffic mitschneiden.
Ich bezweifle zwar, dass dein Nachbar dies vor hat, aber möglich wär's. ;-)
Gruß
Viel Dank, das ganze war nur eine theoretische Frage um sicherheitstechnisch auf dem laufenden zu bleiben.
Die Sendeleistung ist gesetzlich begrenzt. Wenn zwei Netze mit gleicher SSID arbeiten, kann es passieren, dass sich die Geräte im falschen WLAN anmelden und wegen eines unterschiedlichen Passworts aber sich nicht einloggen können.
Von solchen Experimenten rate ich ab. Aus Spaß kannst Du es ja mal ausprobieren. Allerdings wird Dein Nachbar ebenfalls nicht amüsiert sein.
Die Frage war eigentlich ob ein richtig guter Hacker in der Lage wäre einen Accesspoint so zu modifizieren, dass er die Kennwörter die meine Geräte bei der Anmeldung bzw Handshake senden auslesen könnte um sich anschließen mit diesen Lehnwörtern an meinem Netz anzumelden?