Wie schütze ich mein Wi-Fi-Passwort vor der Anzeige durch Android-Telefone, wenn ich es mit dem QR-Code teile?

9

Ich möchte wissen, ob es eine Problemumgehung gibt, um mein TP-LINK-WLAN-Router-Passwort vor der Anzeige auf Telefonen mit Xiaomi-Telefonen (Redmi) zu schützen oder zu verbergen.

Wenn wir in einem Redmi-Telefon zu Wi-Fi gehen und auf zuvor verbundenes Wi-Fi tippen, können wir das Wi-Fi-Netzwerk gemeinsam nutzen, indem wir den QR-Code mit einem anderen Telefon oder demselben Telefon scannen.

Sehen Sie sich die Screenshots unten an, um meine Frage besser zu verstehen:

Wi-Fi-Einstellungen auf dem Xiaomi-Telefon Teilen Sie das Wi-Fi-Netzwerk mit einem QR-Code

Und wenn ich diesen QR-Code mit einem anderen Telefon scanne, können wir das Passwort leicht erkennen:

Das Passwort wird angezeigt, wenn ein anderes Telefon den QR-Code scannt

Wie kann ich mein WLAN-Passwort schützen?

wi-fi security qr-code Sachin
quelle
17
Nur eine Anmerkung, aber das Standard-QR-Format für Wi-Fi enthält das Passwort automatisch im Klartext (damit ... jeder Ihr Wi-Fi-Passwort jetzt kennen kann; möchten Sie es aus dem Revisionsverlauf redigieren?). Ich gehe also davon aus, dass das, was Sie wirklich wollen, eher darin besteht, diese Freigabefunktion für eine bestimmte SSID zu deaktivieren (falls dies überhaupt möglich ist).
Andrew T.
1
Ich möchte nur mein WLAN-Passwort schützen, damit es von keinem Telefon erkannt werden kann (QR-Code). Gibt es eine Option in TP LINK?
Sachin
6
Der QR-Code wird im laufenden Betrieb basierend auf dem oben genannten Format vom Telefon und nicht vom Router generiert. Die Routerkonfiguration hat damit nichts zu tun. Die praktische Lösung besteht darin, die Freigabe der Wi-Fi-Konfiguration mithilfe von QR-Code vollständig zu vermeiden. Die erweiterte (und forschungsbedürftige) Lösung besteht darin, herauszufinden, ob es möglich ist, diese Funktion mithilfe eines Kennworts systematisch zu deaktivieren / zu schützen ...
Andrew T.
9
Zu Ihrer Information: Wenn Sie das Passwort im Screenshot redigieren, aber den QR-Code sichtbar lassen, kann jeder den QR-Code scannen und das Passwort erhalten.
James_pic
1
Was Sie wollen, ist, Ihrem Freund den Schlüssel zu geben, damit er ihn so verwenden kann, wie Sie es beabsichtigt haben. Aber gib ihm auch nicht den Schlüssel, falls er versucht, ihn auf andere Weise zu benutzen. Das ist einfach nicht möglich.
Agent_L

Antworten:

32

Die Antwort auf diese Frage ist allgemeiner als die spezifische Hardware, auf die Sie in Ihrer Frage verwiesen haben, und in keiner Weise Android-spezifisch. Da diese Frage jedoch von Zeit zu Zeit auftaucht, werde ich sie so gut wie möglich beantworten, damit die Leute sie sehen können Das ist in keiner Weise "Magie".

Der Grund, warum dies Ihr Passwort anzeigt, ist, dass der QR-Code für WiFi-Informationen das WiFi-Passwort im Klartext speichert und überträgt, sodass jeder, der den QR-Code scannt, Ihr WiFi-Passwort hat. Der QR-Code ist hier nichts Besonderes: Obwohl Sie ihn nicht per se "lesen" können, kann ihn jedes Gerät, das den für das QR-Symbol verwendeten Standardcode kennt, wie Wörter auf einem Blatt Papier lesen. So werden QR-Codes für WiFi erstellt, und es spielt keine Rolle, ob es sich um einen TP-Link, Asus, Linksys oder ein anderes Gerät handelt, das sie erstellt: Das Passwort ist im Klartext. Es spielt auch keine Rolle, welches Gerät den QR-Code liest: Ob Redmi, Samsung, Apple, Google, Huawei oder was auch immer, es kann den QR-Code lesen und den Netzwerknamen und das Kennwort im Klartext anzeigen, obwohl einige Apps möglicherweise " Maske"

Der richtige Weg, um mit dieser Sicherheit in einer häuslichen Umgebung umzugehen, besteht darin, Ihr WLAN-Passwort nicht an Ihre Freunde weiterzugeben, sondern nur an Ihre Familie (oder es selbst für sie einzurichten, obwohl sie das Passwort möglicherweise noch abrufen können). Verwenden Sie für die Verwendung durch Ihre Freunde oder Gäste eine separate SSID mit einem einfachen Kennwort, das so eingerichtet ist, dass nur auf das Internet zugegriffen werden kann (im Allgemeinen als Client-Isolation bezeichnet), möglicherweise mit einer gedrosselten Rate. Ich weiß nichts über TP-Link, aber viele Unternehmen wie Asus haben eine App für Ihr Handy, mit der Sie sehr schnell ein Gast-WLAN-Netzwerk für einen bestimmten Zeitraum (z. B. 4, 24, 72 Stunden) aktivieren können deaktiviert es automatisch. Dieses Beispiel ist nützlich für Freunde, die zum Abendessen, den ganzen Tag oder vielleicht am Wochenende zu Ende sind. Einige Leute, auch ich, aktivieren ständig ein Gastnetzwerk mit einem Passwort. Dieses Netzwerk ist jedoch Client-isoliert (Benutzer können nur auf das Internet zugreifen) und wird auf etwa 1-2% meiner ISP-Geschwindigkeiten gedrosselt (sie haben 5 Mbit / s und 500 Kbit / s Upload), und ich ändere das Kennwort 3-4 Mal pro Jahr und auf den Kühlschrank stellen. Keine dieser Antworten ist perfekt für die Sicherheit, aber sie sind normalerweise gut genug.

Wenn Sie anderen Personen Zugriff auf Ihr Netzwerk gewähren, können Sie ihnen auch einfach das WLAN-Passwort geben ... Sobald sie mit WLAN verbunden sind, ist es weitgehend dasselbe, als ob sie mit einem Kabel an Ihr Netzwerk angeschlossen sind und auf alles zugreifen können Der physische Zugriff auf das Netzwerk und das WLAN-Passwort sind also im Wesentlichen dasselbe. Außerdem ist es ziemlich einfach, das WLAN-Passwort später bei Bedarf zu ändern, um den Zugriff einzuschränken. Es ist auch keine schlechte Idee, Ihr WLAN-Passwort regelmäßig zu ändern, etwa alle 30-90 Tage. Wenn das Passwort da draußen ist, kann es später nicht mehr aufgerufen werden, wenn sich etwas ändert, wie Ihr Freund oder was auch immer Grund ist nicht mehr dein Freund.

Acejavelin
quelle
Kurz gesagt, die Schlussfolgerung lautet, dass es für dieses Problem keine geeignete technische Lösung gibt. Es ist sehr seltsam und lächerlich, dass sich die Technologie so stark verbessert hat, aber wir haben keine robuste Technik dafür!
Sachin
22
@ user3779493 Es ist möglicherweise besser, wenn Sie sich eine Idee zur Verbesserung dieser Technologie überlegen können ... 1) Der Zweck des Wi-Fi-QR-Codes besteht darin, die Wi-Fi-Konfiguration bequem für die anderen Geräte freizugeben, um eine Verbindung herzustellen, und sie benötigen die SSID und Passwort. 2) Wenn andere Geräte eine Verbindung zu diesem Wi-Fi-AP hergestellt haben und diese Geräte gerootet sind, können sie auch das lokal auf ihren Geräten gespeicherte Wi-Fi-Kennwort abrufen.
Andrew T.
11
@ user3779493 Technologie ist da. Sie können ein sichereres System haben, bei dem jeder Benutzer seinen eigenen Benutzernamen und sein eigenes Passwort hat. Wenn Sie jedoch ein einfaches Passwort für alle auswählen, müssen Sie es bei der Ausgabe offenlegen. Das ist die Natur eines einzelnen Passworts. Das Telefon des Gastes muss das Passwort in lesbarer Form erhalten, sei es QR oder ein einfacher Text oder Ihr Mund sagt es Ihrem Gast. Sie können dem Gast anbieten, das Passwort für ihn auf seinem Telefon einzugeben.
Vladimir F
5
@ user3779493 Natürlich gibt es sicherere Lösungen, aber sie sind nicht so einfach wie ein einziger generischer Passcode. Unternehmensorganisationen verwenden sie ständig, z. B. WPA2-Enterprise (Radius) oder 802.1X, bei denen der Benutzer überhaupt kein "WLAN-Kennwort" benötigt, aber andere Anmeldeinformationen wie einen Domänenbenutzernamen / ein Kennwort verwendet oder ein bestimmtes Zertifikat installiert ( eine Datei) im Gerät manuell. Diese sind jedoch im Allgemeinen nicht für den Heimgebrauch vorgesehen. Aus diesem Grund sind Gastnetzwerke (manchmal dauersspezifisch) in moderne Heimrouter integriert. Ist die Technologie da? Ja, aber es gibt keine Nachfrage danach.
Acejavelin
2
@ user3779493 Ich würde auch zur Vorsicht bei der Eingabe der Anmeldeinformationen für jemanden auf seinem Gerät raten, da dies absolut keine Sicherheit bietet ... Jeder mit minimalen Google-Suchfähigkeiten könnte das Passwort wiederherstellen. Die andere Sache, an die Sie sich erinnern sollten, ist, dass diese Informationen, sobald sie beispielsweise auf einem mobilen Gerät eingegeben wurden, auch im Cloud-Konto des Benutzers wie Google gesichert werden können und jedes Gerät, dem sie ihr Konto hinzufügen, sofort Zugriff auf Ihr Netzwerk und Ihr Kennwort hat. Dies führt wiederum zu einem sicheren Gastnetzwerk für solche Zwecke, in denen Sie die Zeit und die Verwendung von Kennwörtern begrenzen können.
Acejavelin
11

Die kurze Antwort auf diese Frage lautet: Sie können niemanden, der über das WLAN-Passwort verfügt, daran hindern, es weiterzugeben. Genau das macht das Telefon, wenn es den QR-Code generiert.

Wenn Sie verhindern möchten, dass Benutzer Ihres Netzwerks den Zugriff für andere Benutzer freigeben, müssen Sie zum Sichern des Netzwerks ein anderes als das Standardkennwort WPA verwenden. Es gibt eine Reihe möglicher Lösungen

  • Verwenden Sie weiße Listen mit MAC-Adressen. Dies bedeutet, dass nur bekannte Hardware eine Verbindung herstellen kann, auch wenn sie über das Kennwort verfügt (MAC-Adressen können leicht mit Laptops gefälscht werden. Sie sind sich nicht sicher, ob dies ohne Jailbreak eines Telefons möglich ist.)

  • Bei Verwendung von WPA-TLS werden für jeden Benutzer individuelle Zertifikate verwendet. Nach der Installation auf dem Telefon ist es nicht möglich, den privaten Schlüssel zu exportieren und nicht mit anderen zu teilen (es ist möglich, Schlüssel auf einigen im Gefängnis defekten Telefonen zu extrahieren, die keine haben Hardware-sichere Elemente)

  • Verwenden Sie ein Captive-Portal und benötigen Sie ein zweites Kennwort, das sich regelmäßig ändert (dies kann von einem 2fa-Token stammen, das nur autorisierten Benutzern gegeben wird).

Diese Liste ist nicht vollständig, sollte Ihnen jedoch einige Optionen bieten, die Sie sich ansehen können.

hardillb
quelle
1
Whitelist / Blacklists für MAC-Adressen sind heutzutage schwierig ... Die Randomisierung von MAC-Adressen wird aus Datenschutzgründen in Geräte integriert, mein Pixel-Telefon hat sie. source.android.com/devices/tech/connect/wifi-mac-randomization und die anderen Methoden sind oft hardwareabhängig. Nicht alle Heimnetzwerkgeräte können eine Supplicant-basierte Authentifizierung durchführen, obwohl die meisten ein Gastnetzwerk mit Captive-Portal ausführen können Der Sinn des Captive-Portals wird ohnehin nicht erkannt, wenn es sich um eine eindeutige SSID handelt, es sei denn, Sie müssen die AGB akzeptieren, um sich selbst zu entschädigen, wenn sie etwas Bösartiges tun.
Acejavelin
3
Die Zufallsgenerierung von Mac-Adressen wird nur bei der Suche nach einer SSID verwendet. Die tatsächliche Mac-Adresse des Geräts wird weiterhin für die eigentliche Verbindung verwendet. Das Captive-Portal ermöglicht es Ihnen, eine sekundäre Authentifizierungsebene hinzuzufügen, die leicht geändert werden kann. Es hat nichts mit Entschädigung zu tun
hardillb
Gut zu wissen, danke für die Info!
Acejavelin
@hardillb Zumindest auf meinem Pixel 3a ist es eine Option in den Einstellungen, welchen MAC verwendet werden soll, wenn tatsächlich eine Verbindung hergestellt wird, und zufällig wird als Standard aufgelistet.
Derobert
4

Sie können eine dedizierte Gast-SSID haben (sofern Ihr Router dies unterstützt). Dies kann die Gäste je nach Router-Fähigkeiten bis zu einem gewissen Grad von Ihnen trennen.

Wenn Sie den Gästen keinen dauerhaften Zugriff gewähren möchten, können Sie das Passwort von Zeit zu Zeit ändern.

Wenn Sie weiter gehen möchten, können Sie sich WPA2 / WPA3 Enterprise ansehen. Dies ermöglicht eine bessere Zugangskontrolle. Wahrscheinlich möchten Sie dies jedoch nicht in Ihrem Heim-WLAN tun, da die Einrichtung zu komplex ist und Sie möglicherweise einen besseren (und teureren) WLAN-Router dafür benötigen.

Eine Erklärung, warum der QR-Code das Passwort nicht verbirgt, finden Sie in @ acejavelins Beitrag.

v6ak
quelle
2

Ich habe einen zweiten Router, nur einen kleinen billigen, der per Kabel mit dem Hauptrouter verbunden ist. Sie haben unterschiedliche WLAN-Netzwerke und unterschiedliche Passwörter. Ich gebe meinen Freunden nur das Passwort des zweiten Routers.

Ich kann es jederzeit leicht ändern. Oder trennen Sie es.

Ich finde es eine einfache und effektive Lösung.

Don King
quelle
Dies ist tatsächlich eine schreckliche Lösung ... Sie gewähren jedem auf dem zweiten Router vollen Zugriff auf alles im Netzwerk des ersten Routers, und niemand im Netzwerk des ersten Routers kann auf etwas im zweiten zugreifen. Es sei denn, Sie haben eine Client-Isolation für die dem zweiten Router zugewiesene IP-Adresse ...
Acejavelin
Wer hat gesagt, dass ich allen Zugang gewähren würde? Du? Ich habe es sicher nicht getan. Ich kann es so konfigurieren, dass sie keinen Zugriff auf die Netzwerke der anderen haben. Scheint sicher genug.
Don King
Wenn der Internetanschluss von Router 2 mit dem LAN von R1 verbunden ist, muss jeder auf R2 nur das IP-Adressschema des LAN von R1 kennen. Für R2 ist Ihr R1-LAN-Subnetz das Internet, sodass sie auf alles darin zugreifen können, als wären sie direkt damit verbunden. Einfaches IP-Routing sagt dies aus, es sei denn, Sie haben einige sehr spezifische Änderungen vorgenommen, die bei Heimroutern nicht üblich sind. Wenn meine IP unter R2 beispielsweise 10.0.0.10 und Ihr Drucker unter R1 192.168.1.50 lautet, kann ich direkt darauf zugreifen, da R2 gerne zu diesem Gerät weiterleitet, da es genau weiß, wo es sich befindet. Ihr R1 LAN kennt jedoch nichts von 10.0.0.10.
Acejavelin
Abhängig von Ihrem Router können Sie ihn so konfigurieren, dass er sich nicht gegenseitig die Netzwerke anzeigt.
Don King