Mit 11k Versuchen liegt der Artikel bei einer nicht wirklich wahren aussage, ich hätte eher auf 12k getippt.
WPS ist ein Weg, über dem man das eigentliche Verschlüsselungspasswort der WLAN-Verbindung, also von WPA2, nicht benötigt. Man drückt am Router eine WPS-Taste oder tippt in das Endgerät eine 8-stellige Pin ein, um dann das Gerät im WLAN anzumelden. Die 8-stellige Pin besteht aus den Zahlen 0-9. Also gibt es 10^8 Kombinationen, die per Brute-Force durchgetestet werden müssten. Allerdings gibt es eine witzige Sache, die man ausnutzen kann: Das Geburtstagsparadoxon. Stochastisch besteht eine >50%ige Wahrscheinlichkeit, dass bei 23 Schülern zwei am selben Tag Geburtstag haben. In der Kryptographie gibt es dazu eine gute Annäherung. Ist "n" die Anzahl aller möglichen Versuche, dann genügen bereits 1.18*sqrt
viele Versuche, um mit >50%iger Wahrscheinlichkeit erfolgreich zu sein. In der Kryptographie bezeichnet man das als "Geburtstags-Attacke". In unserem Fall läuft es dann mit n=10^8 auf 1.18 * 10^4 also 11800 Versuche. (Manchmal ist 1.19 die bessere Annäherung)
Edit-Anfang
Interessanter Weise hat WPS wohl netterweise eine Funktion drin, die die ersten vier Stellen der Pin direkt validiert. Ich würde meine Aussage nochmal überarbeiten dahingehend. Um die ersten vier Stellen herauszufinden, brauchst du ca. 119 (zufällige) Versuche (die letzten vier Stellen bleiben identisch) um zu >50% erfolgreich zu sein. Hast du diese vier Stellen, fehlen noch vier. Also nochmal das gleiche, diesmal bleiben die ersten vier fixiert auf der richtigen Pin. Also nochmal 119 Versuche. Insgesamt also 238 Versuche, statt 11-12k. Das Klappt innerhalb weniger Sekunden.
Edit-Ende
Bietet dir dein Router eine WPS-Möglichkeit, deaktivieren.
Anschließend das WPA2 Passwort ändern. Richte eine MAC-Filterung ein und lösche alle unbekannten Geräte. (Geht bei den Routern im selben Abschnitt, wie die Änderung des WLAN-Passworts)
Es sieht so aus, als hätte dich jemand gezielt auf dem Schirm. An dieser Stelle würde ich (also wirklich ich
) auch die
restlichen Mitglieder um Rat bitten.
Zunächst: Es liegt ein Verdacht vor, dass sich jemand unberechtigter Weise Zugang zu deinen Daten verschafft. Intuitiv würde ich diesen Verdacht an die Polizei tragen und Anzeige erstatten.
Manchmal haben Täter Zugang zu einer Mailadresse oder wissen, wie sie sich Zugang verschaffen können. Sowas sollte vorher ausgeschlossen werden.
[Nachfolgend Hinweise zur Absicherung, an einigen hervorgehobenen Stellen würde ich die erfahrenen Boarduser bitten ebenfalls Rat zu geben]
Dann zur Absicherung zu Hause. Nutze ein jungfräuliches System - keinerlei Daten drauf, nur Windows oder Linux. Erreichen kannst du das z.B. indem du auf einem USB-Stick eine Live-Version installierst und die Festplatten aus dem Computer entfernst. Danach bootest du von dem USB-Stick.
Nun sicherst du dein WLAN ab. (Vorher hätte die Chance bestanden, dass du einen Trojaner auf dem Rechner hast, der deine Absicherungen weiterleitet.
Installiere dir KeePass [1] (oder was anderes nach deiner Wahl) und lege dir eine Passwortdatenbank an und nutze die Zwei-Wege-Sicherheit aus, durch ein Masterpasswort (mindestens 8 stellig und bestehend aus Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben). Als Anhaltspunkt: Ein 128-Bit (=16-stellig) großes Passwort benötigt ca. 4*10^9 Jahre, bis es durch eine Bruteforce-Methode geknackt wird. Zusätzlich wählst du eine Datei als Key file nutzt du eine Datei, die so bestmöglich nur 1x existiert aber unauffällig erscheint, wie z.B. ein Bild oder ein GPG-erzeugter-Schlüssel. Bei Bildern vermutet fast niemand, dass es sich dabei um deine Key File handelt
Diese Datei musst du unbedingt auf einem externen Speichermedium sichern.
Dann installierst du dir den TorBrowser [2]. Dieser verschlüsselte deine weiteren Aktionen.
Nun brauchst du eine Liste aller wichtigen Seiten, also aller Seiten, über die Zahlungen erfolgen könnten. Auf diesen Seiten änderst du das Passwort. Steuere die Seiten über den Tor-Browser an. Für das neue Passwort nutze am besten eine Funktion aus KeePass: Passwort erzeugen mit vordefinierter Länge. Dieses Passwort speicherst du dann in Keepass und hinterlegst es in deinem Nutzerkonto als neues Anmeldepasswort.
Sind diese Schritte erledigt kopierst du dir die Passwort-Datenbank (KeyPass fragt dich, wo die gespeichert werden soll, wenn du sie anlegst) ebenfalls auf einen USB-Stick. Diese Datei ist sehr wichtig, denn darin sind alle Passwörter verschlüsselt gespeichert. Bewahre diese Datei stets getrennt von deinem Keyfile auf.
Nun kannst du wieder zu deinem normalen System zurück wechseln. Die notwendigen Dinge sind erstmal abgesichert. Auf diesem PC würde ich dir ebenfalls Tor und KeePass empfehlen zu installieren. Möglicherweise macht es auch Sinn das System vorher vollständig mit einem externen Virenscanner zu checken. (
@Board: Was sagt ihr dazu?) Vielleicht ist es auch ratsam das System neu aufzusetzen und die gesamten Daten (falls du mehrere Partitionen verwendest) auf Sicherheitswarnungen zu untersuchen.
Durch das beschriebene Vorgehen stellst du folgendes sicher
- Bekannte Kennwörter sind geändert
- Angreifer kennt die neuen Kennwörter nicht
- Der WLAN-Zugang ist abgesichert.
- Mögliche Spyware auf deinem Computer ist beseitigt.
- Deine Passwörter sind nicht durch Brute-Force Methoden herauszufinden
- Deine Verbindungen zu Seiten mit Zahlungsinformationen sind über Tor abgesichert und die Passwörter sind gewechselt.
- Solche Seiten sind z.B. eBay, PayPal, Amazon, ... (um mal die Riesen zu nennen)
Fritzbox ist auch nicht unbedingt notwendig. Nur ein bemerkenswerter Anteil am Markt nutzt die Geräte von AVM.
VPN ist halt interessant, wenn du häufiger in öffentlichen Netzwerken herumsurfst. (IKEA, Burgerking, ICE, Telekom Hotspots, Raststätten Unternehmen, ...)
Um nochmal sicher zu stellen: Welche Geräte nutzt du? Laptop (Windows, Linux, Mac), Smartphone (Android, iOS), Tablet (Android, iOS, Windows), Smart-Watch? Achte darauf, dass das Gerät auf dem neusten Versionsstand ist. Auch dass deine verwendete Software den aktuellen Versionsstand aufweist.
Sollte ich an einer Stelle zu viel "Sicherheit" empfehlen, korrigiert das bitte
@Board.
[1]
KeePass Password Safe
[2]
Tor Browser