WPS: Knopf, PIN und NFC

Ein angenehmes Komfortmerkmal vieler Router ist das Wireless Protected Setup (WPS), das das lästige Eingeben langer Schlüssel erspart. Von WPS existieren drei Varianten: Basis ist die PIN-Variante, welche jeder Router unterstützen muss, der WPS auf den Karton gedruckt haben möchte. Dabei kommt zumeist eine achtstellige PIN auf Accesspoint-Seite oder eine vierstellige PIN auf Client-Seite zum Einsatz. Beim Push-Button können sich nach Drücken des Knopfes für etwa zwei Minuten beliebige Geräte mit dem Access Point verbinden. Das erste Gerät, das in diesem Zeitfenster verbindet, bekommt den Pre Shared Key (das WLAN-Passwort) übertragen. Relativ neu ist die NFC-Variante, bei der das an den DSL-Router gehaltene Tablet oder Smartphone den Schlüssel übertragen bekommt.

Eine massive Sicherheitslücke ist WPS PIN: Viele Router prüfen zunächst einen Viererblock und dann die folgenden drei Ziffern. Von einst 100 Millionen möglichen Kombinationen bleiben bei diesen Geräten gerade mal 11.000 übrig. Und die lassen sich in wenigen Stunden durchprobieren. Hinzu kommt, dass einige Hersteller von Chipsätzen die Standard-PIN aus der MAC-Adresse berechnen. Wer die Algorithmen kennt, kann binnen Sekunden die PIN errechnen und ein beliebiges Gerät verbinden. Die Push-Button-Methode dagegen kann angesichts des kurzen Zeitfensters weitgehend als sicher gelten, größtes Problem ist hier der physikalische Zugang zum DSL-Router durch Unbefugte - Gleiches gilt natürlich auch für die NFC-Variante.

Lesetipp: Smartphone und Router mit WPS sicher verbinden

Deaktivieren Sie daher auf jeden Fall WPS per PIN. Push-Button und NFC können aktiv bleiben. Leider interpretieren einige Hersteller die Mindestanforderung PIN dahin gehend, dass die Methode Voraussetzung für alle anderen WPS-Methoden ist. Sollte das in Ihrem Router der Fall sein, deaktivieren Sie WPS komplett und schalten Sie es immer nur temporär an, wenn das Hinzufügen eines neuen Gerätes wie eines WLAN-fähigen Druckers dies unbedingt erfordert.