Hallo!

Ich habe jetzt ein neues W-LAN Netzwerk privat mit einer WPA2-Verschlüsselung, der Key ist größtmöglich gewählt.

Ich würde mir gerne die MAC-Adressfilterei ersparen, habe gehört diese ist ohnehin sehr uneffektiv.

Was meint ihr?

Schenk dir das. Als Angreifer ist es trivial einfach eine zulässige MAC-Adresse zu finden im W-LAN.
Ich will nicht behaupten, dass MAC-Adressen-Filterung gar keinen Effekt hat, aber er ist sehr gering.
Konstruierter Vergleich: "Soll ich hinter vor meiner Haustür (WPA2 Verschlüsselung) noch ein Babytor installieren (MAC-Adressfiltering), um es Einbrechern schwieriger zu machen?"

Jedes MacBook kann übrigens ganz trivial MAC-Adressen mitschneiden und auch spoofen. Das dauert keine 10s und du bist drin. Kein großes Setup oder exotische Soft- / Hardware nötig.

"Größtmöglich" ist auch nicht wirklich notwendig. WPA2 benutzt PBKDF2 als Key Derivation Funtion mit 4096 Iterationen. Das ist aus heutiger Sicht sehr wenig, ist aber besser als nichts und erschwert Angriffe ein gutes Stück. Ist jedenfalls nicht so, dass jemand einfach so die Passphrase direkt durchprobieren kann.

Wenn du nicht gerade davon ausgehst, dass sich jemand mit einem Supercomputer für mehrere tausend Jahrzehnte mit deinem WLAN beschäftigt, macht es praktisch keinen Sinn mehr als 16 alphanumerische (Groß- und Kleinschreibung, natürlich) Zeichen zu nutzen.

Irgendwo zwischen 12 und 16 Zeichen ist wahrscheinlich ein ganz guter Kompromiss aus einfacher Eingabe und guter Sicherheit.

Du willst dir übrigens auch keine Passwörter selbst ausdenken. Nimm pwgen oder was auch immer den Zufallsgenerator deines Betriebssystems anzapft. Geht einfacher und dann ist der Zufall auf deiner Seite.

Danke für eure Antworten!

Ich verwende gern einen großen Key, mich stört es auch nicht jetzt etwas "umständlich" einzugeben - da ich ohnehin den Key per USB auf Handy und Geräte gebe.
Netzwerkdrucker und TV-Stick werden halt etwas mühsam getippt, aber is auch die einzige "Schwierigkeit" hier.

Also dass man gerne lange Zeichenketten eingibt, kann ich mir nicht so ganz vorstellen. Ab einem bestimmten Punkt bringt dir eine längere Passphrase einfach nur noch sehr wenig und kann die reale Sicherheit auch verringern, weil z.B. irgendwer aus Frust zu WPS greift. Alles schon erlebt.

Also dass man gerne lange Zeichenketten eingibt, kann ich mir nicht so ganz vorstellen. Ab einem bestimmten Punkt bringt dir eine längere Passphrase einfach nur noch sehr wenig und kann die reale Sicherheit auch verringern, weil z.B. irgendwer aus Frust zu WPS greift. Alles schon erlebt.

Nachdem dies aber alles unter meiner Kontrolle steht, weiß ich dass nie WPS verwendet werden wird. Wechlse die Passphrase auch alle paar Monate aus.

Nur einmal zum Vergleich hiermit getestet, weil ich auch gerade einmal Zahlen zur Hand haben wollte: https://www.grc.com/haystack.htm

8 Zeichen alphanumerisch (Minimale Länge WPA2-PSK):

https://abload.de/img/grc168s9x.png

12 Zeichen alphanumerisch:

https://abload.de/img/grc2oessj.png

16 Zeichen alphanumerisch:

https://abload.de/img/grc38js1d.png

63 Zeichen alphanumerisch (Maximale Länge WPA2-PSK):

https://abload.de/img/grc4a1sxk.png

Selbst wenn man das "Massive Cracking Array"-Szenario als Anhaltspunkt nimmt, wirst du das Passwort sehr wahrscheinlich zu Lebzeiten nicht mehr ändern müssen, wenn du etwas um 16 Zeichen herum nimmst. Ab einem bestimmten Punkt kann einfach niemand mehr die Passphrase knacken, egal wie viel Geld oder Rechenleistung er investiert. Das ist dann einfach kein realistischer Angriffspunkt mehr.

Ich betone das auch nur, weil ganz oft einige Leute zwischen gar keiner Sicherheit und absolut übertriebenen Lösungen, die keine weitere Sicherheit liefern, hin und her schwanken. Die Kunst ist aber nicht, dass man mit allem übertreibt, sondern realistische Szenarien betrachtet und dann eben anhand dessen Entscheidungen trifft. Für mich wäre die Wahl bei WPA2-PSK jedenfalls relativ klar.

Interessante Übersicht, thx ;)

Nur einmal zum Vergleich hiermit getestet, weil ich auch gerade einmal Zahlen zur Hand haben wollte:
Die Zahlen sind allerdings sehr optimistisch. Der Test rechnet direkt mit den aus dem Passwort bekannten Zeichenraum. Gibt man nur kleine Buchstaben ein, nimmt er nur kleine Buchstaben, nimmt man Zahlen dazu nimmt er Zahlen dazu etc. pp.

Das kann ein Angreifer natürlich nicht. Gehe ich z.B. von 8 Zeichen mit Groß/Klein und Zahlen aus, sagt das Programm 37 Minuten für Fast Attack. Ein Zeichen aus diesem Zeichenraum mehr sind dann 1,6 Tage. Nehme ich statt des Zeichens ein Sonderzeichen sind es 2,4 Monate.

Das hätte man schon etwas genauer machen müssen (= Zeit immer auf der Basis aller vier Kriterien, anders macht BruteForce wenig Sinn).

Die Zahlen sind allerdings sehr optimistisch.

Der Test ist eher pessimistisch, weil er ja davon ausgeht, dass der Angreifer weiß, welchen Zeichenraum man benutzt. Das ist auch nicht so unglaublich unrealistisch je nach Anwendung. Ich würde für WPA2-PSK z.B. keine Sonderzeichen benutzen, weil das auf manchen Geräten zu umständlich zum Eingeben ist und viele andere werden das wahrscheinlich ähnlich handhaben.

Der Test geht natürlich auch davon aus, dass man dann tatsächlich auch zufällige Strings aus dem jeweiligen Zeichenraum als Passphrasen benutzt. Das muss man schon beachten, aber ansonsten finde ich das verglichen mit den ganzen anderen Passwortstärketests schon ziemlich aufschlussreich. Man kann damit auf jeden Fall ganz gut eine Länge im jeweiligen Zeichnraum rausfinden, die man nicht unterschreiten will.

Der Test ist eher pessimistisch, weil er ja davon ausgeht, dass der Angreifer weiß, welchen Zeichenraum man benutzt.
Pessimistisch für den Nutzer, Optimistisch für den Angreifer ;)

Das muss man schon beachten, aber ansonsten finde ich das verglichen mit den ganzen anderen Passwortstärketests schon ziemlich aufschlussreich. Man kann damit auf jeden Fall ganz gut eine Länge im jeweiligen Zeichnraum rausfinden, die man nicht unterschreiten will.
Ich fände es eben aufschlussreicher, die Option zu haben, den Angreifer den Zeichenraum nicht nutzen zu können. So sind Längenvergleiche eben viel schwieriger, siehe meine Beispiel. RealWorld ist wahrscheinlich ein alphanumerisches Zeichen mehr viel besser, als ein Zeichen durch ein Sonderzeichen zu ersetzen.

Ich fände es eben aufschlussreicher, die Option zu haben, den Angreifer den Zeichenraum nicht nutzen zu können. So sind Längenvergleiche eben viel schwieriger, siehe meine Beispiel.

Schon klar, aber das hilft ja nicht bei der Entscheidung. Man will dabei ja relativ klare Antworten haben, welche Länge man besser nicht unterschreiten sollte. Man will das ja zu einer binären Entscheidung machen, wie z.B. alles kürzer als 12 Zeichen "schlecht", aber alles gleich oder länger als 12 Zeichen "gut". Jedenfalls wenn man davon ausgeht, dass ein Angreifer nicht mehr als ein Jahr und hunderte oder gar tausende Euro an Stromkosten investieren will.

Dass mehr Zeichen immer besser als ein größerer Zeichenraum sind, sollte einem auch bewusst sein. Wahrscheinlich wissen das viele nicht, aber mit steigender Länge hat man bei solchen Anwendungen ein exponentielles Wachstum der Komplexität und bei nur größer werdenden Zeichenräumen durch mehr mögliche Zeichen (aber gleicher Länge) nicht. Wenn man sich unsicher ist, sollte man immer besser mehr Zeichen nehmen anstatt z.B. Sonderzeichen zu benutzen. Auch wenn 63 Zeichen natürlich absoluter Overkill und ohne einen realen Sicherheitsgewinn sind.

Art of the Problem hat dazu ein ganz gutes Video:

u2DLlNQiPB4

Demnächst kommt aber WPA3, von daher wird man da sowieso einmal gucken müssen, welche Mindestlänge da in Ordnung ist. Wahrscheinlich werden sie da auch weiter an der Key Derivation Function schrauben oder direkt eine modernere benutzen. Jedenfalls könnte man das als Hinweis in der Ankündigung vermuten:

Two of the features will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations [...]

https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements