Pregunta:
¿Cómo proteger mi contraseña de Wi-Fi para que no se muestre en teléfonos Android al compartirla con un código QR?
Sachin
2019-10-05 17:12:56 UTC
view on stackexchange narkive permalink

Me gustaría saber si hay alguna solución para proteger u ocultar la contraseña de mi enrutador Wi-Fi TP-LINK para que no se muestre en teléfonos que usan teléfonos Xiaomi (Redmi).

Si vamos a Wi -Fi en un teléfono Redmi y toque en Wi-Fi previamente conectado, luego el teléfono nos permite compartir la red Wi-Fi escaneando el código QR por algún otro teléfono o el mismo teléfono.

Vea las capturas de pantalla a continuación para comprender mejor mi pregunta:

Wi-Fi Settings on Xiaomi phone Share Wi-Fi network showing a QR code

Y si escaneo este código QR con cualquier otro teléfono, entonces podemos ver fácilmente la contraseña:

Password is shown when another phone scans the QR code

Entonces, ¿cómo puedo proteger mi contraseña de Wi-Fi?

Solo una nota, pero [el formato QR estándar para Wi-Fi incluye automáticamente la contraseña en texto plano] (https://github.com/zxing/zxing/wiki/Barcode-Contents#wi-fi-network-config-android-ios-11) (así que ... todos pueden conocer su contraseña de Wi-Fi ahora; ¿desea eliminarla del historial de revisión?).Entonces supongo que lo que realmente desea es más bien, deshabilitar esta función para compartir para un SSID específico (si es que es posible).
Solo quiero proteger mi contraseña wifi para que no pueda ser detectada por ningún teléfono (código QR).¿Existe alguna opción en TP LINK?
El código QR se genera sobre la marcha en función del formato anterior por el teléfono, no el enrutador;la configuración del enrutador no tiene nada que ver con esto.La solución práctica es evitar por completo compartir la configuración de Wi-Fi utilizando un código QR.La solución extendida (y la investigación necesaria) es encontrar si es posible deshabilitar / proteger esta función usando contraseña sistemáticamente ...
¿Es el control de acceso una solución aceptable?(Preguntar al público en general y al OP) Limitar el acceso a través de su enrutador a solo dispositivos permitidos y confiables no protegería su "contraseña" per se, pero evitaría que clientes no autorizados accedan a Internet y su red.(que tiene el mismo efecto general que limitar la capacidad de compartir sus contraseñas, ¿verdad?)
Para su información, redactar la contraseña en la captura de pantalla, pero dejar el código QR visible, significa que cualquiera puede escanear el código QR y obtener la contraseña.
Lo que quieres es darle a tu amigo la clave para que pueda usarla de la manera que pretendías.Pero tampoco le dé la clave, en caso de que intente usarla de otra manera.Esto simplemente no es posible.
Cuatro respuestas:
acejavelin
2019-10-05 20:15:35 UTC
view on stackexchange narkive permalink

La respuesta a esta pregunta es más general que el hardware específico al que hizo referencia en su pregunta, y no es específico de Android de ninguna manera, pero dado que esta pregunta parece surgir de vez en cuando, la responderé lo mejor que pueda para que la gente puede ver que esto no es "mágico" de ninguna manera.

La razón por la que esto muestra su contraseña es que el código QR para la información de WiFi almacena y transmite la contraseña de WiFi en texto plano, de modo que cualquier persona que escanee el código QR tendrá su contraseña de WiFi. El código QR no es algo especial aquí: aunque no puede "leerlo" per se, cualquier dispositivo que conozca el código estándar utilizado para el símbolo QR puede leerlo como palabras en una hoja de papel. Así es como se hacen los códigos QR para WiFi y no importa si es un TP-Link, Asus, Linksys o cualquier otro dispositivo que los crea: la contraseña está en texto plano. Tampoco importa qué dispositivo esté leyendo el código QR: ya sea Redmi, Samsung, Apple, Google, Huawei o lo que sea, puede leer el código QR y mostrar el nombre de la red y la contraseña en texto sin formato, aunque algunas aplicaciones podrían " enmascarar "la contraseña para la privacidad básica (pero tienen la información).

La forma correcta de manejar esta seguridad en un entorno doméstico es no dar su contraseña de WiFi a sus amigos, solo a su familia (o configurarla usted mismo para ellos, aunque es posible que aún puedan recuperar la contraseña) . Y para el uso de sus amigos o invitados, tenga un SSID separado con una contraseña simple que esté configurada para acceder solo a Internet (comúnmente llamado Aislamiento de clientes), posiblemente a una velocidad limitada. No sé sobre TP-Link, pero muchas compañías como Asus tienen una aplicación para su teléfono celular que puede permitirle rápidamente habilitar una red WiFi para invitados durante un cierto período de tiempo (digamos 4, 24, 72 horas) y luego lo desactiva automáticamente. Este ejemplo es útil para amigos que vienen a cenar, todo el día o quizás el fin de semana. Algunas personas, incluido yo mismo, solo habilitan una red de invitados con una contraseña todo el tiempo, pero esta red tiene aislamiento de cliente (los usuarios solo pueden acceder a Internet) y está limitada a aproximadamente el 1-2% de las velocidades de mi ISP (tienen 5 Mbps abajo y 500 Kbps de carga para usar) y cambio la contraseña 3-4 veces al año y la guardo en el refrigerador. Ninguna de estas son respuestas perfectas para la seguridad, pero generalmente son lo suficientemente buenas.

De lo contrario, si les está dando acceso a las personas a su red, también podría simplemente darles la contraseña de WiFi ... Una vez que están conectados a WiFi, es en gran medida lo mismo que si se hubieran conectado a su red con un cable y puede acceder a todo, por lo que tener acceso físico a la red y tener la contraseña de WiFi son esencialmente lo mismo. Además, es bastante fácil cambiar la contraseña de WiFi más tarde si es necesario para restringir el acceso. Tampoco es una mala idea cambiar su contraseña de WiFi de forma regular, una vez cada 30-90 días aproximadamente, de modo que si la contraseña está disponible, no se pueda acceder a ella más tarde si las cosas cambian, como su amigo para lo que sea. la razón ya no es tu amiga.

En resumen, la conclusión es que no existe una solución técnica adecuada para mi problema.Es muy extraño y ridículo que la tecnología haya mejorado tanto, ¡pero no tenemos ninguna técnica sólida para esto!
@user3779493, sería mejor si se le ocurriera una idea sobre cómo mejorar esta tecnología ... 1) el propósito del código QR de Wi-Fi es compartir cómodamente la configuración de Wi-Fi para que los otros dispositivos se conecten, y necesitan el SSIDy contraseña.2) si otros dispositivos se han conectado a ese punto de acceso Wi-Fi, y si esos dispositivos están rooteados, también pueden recuperar la contraseña de Wi-Fi almacenada localmente en sus dispositivos.
La tecnología @user3779493 está ahí.Puede tener un sistema más seguro en el que cada usuario tenga su propio nombre de usuario y contraseña.Pero si elige una contraseña simple para todos, al darla debe revelarla.Esa es la naturaleza de una sola contraseña.El teléfono del invitado debe obtener la contraseña en un formato legible, ya sea QR o un simple mensaje de texto o su boca diciéndoselo a su invitado.Puede ofrecerle al huésped que complete la contraseña por él en su teléfono.
@user3779493 Por supuesto, existen soluciones más seguras, pero no son tan simples como tener una única contraseña genérica.Las organizaciones empresariales los usan todo el tiempo, como WPA2-Enterprise (Radius) o 802.1X, donde el usuario no necesita una "contraseña wifi" en absoluto, pero usa otras credenciales como un nombre de usuario / contraseña de dominio o instala un certificado específico (un archivo) en el dispositivo manualmente.Sin embargo, generalmente no están destinados a uso doméstico, por eso las redes de invitados (a veces específicas de duración) están integradas en los enrutadores domésticos modernos.¿Está la tecnología ahí?Sí, pero no hay demanda.
@user3779493 También recomendaría precaución al ingresar las credenciales de alguien en su dispositivo, no hay absolutamente ninguna seguridad en eso ... Cualquiera con habilidades mínimas de búsqueda en Google podría recuperar la contraseña.La otra cosa a recordar es que una vez que se ingresa en, digamos, un dispositivo móvil, esta información también podría respaldarse en la cuenta en la nube del usuario, como Google, y cada dispositivo al que agreguen su cuenta tendrá acceso inmediato a su red y contraseña.Una vez más, esto se presta a tener una red de invitados segura para tales fines en los que puede limitar el tiempo y el uso de la contraseña.
@user3779493: No es ridículo.** La capa de red no es control de acceso, nunca. ** Si la está usando como tal, tiene serios problemas;cualquier compromiso de cualquiera de sus dispositivos da acceso a lo que sea que trate la red como confiable.Esto puede incluir "compromisos" que ni siquiera son ejecución de código nativo, p. Ej.simplemente javascript ejecutándose en un navegador en uno de sus dispositivos.No trate siempre la LAN de forma diferente a la Internet pública.
hardillb
2019-10-06 21:43:12 UTC
view on stackexchange narkive permalink

La respuesta corta a esta pregunta es que no puede evitar que nadie que tenga la contraseña de WiFi la comparta. Que es exactamente lo que hace el teléfono cuando genera el código QR.

Si desea evitar que los usuarios de su red compartan el acceso con otros, entonces debe usar algo diferente a la contraseña predeterminada WPA para proteger la red. Hay una serie de posibles soluciones

  • Use listas blancas de direcciones MAC, esto significa que solo el hardware conocido podrá conectarse incluso si tienen la contraseña (las direcciones MAC se falsifican fácilmente con portátiles, no estoy seguro de si es posible sin hacer jailbreak a un teléfono)

  • Usado WPA-TLS, esto usa certificados individuales para cada usuario, una vez instalado en el teléfono no hay forma de exportar la clave privada, por lo que no hay forma de compartirla con otros (es posible extraer claves en algunos teléfonos rotos que no tienen elementos seguros de hardware)

  • Use un portal cautivo y requiera una segunda contraseña que cambia con regularidad (esto podría ser de un token 2fa que solo se da a los usuarios autorizados)

Esta lista no está completa pero debería darle algunas opciones para mirar.

Las listas blancas / negras de direcciones MAC son difíciles hoy en día ... La aleatorización de direcciones MAC se está integrando en los dispositivos con fines de privacidad, mi teléfono Pixel la tiene.https://source.android.com/devices/tech/connect/wifi-mac-randomization y los otros métodos a menudo dependen del hardware, no todos los equipos de redes domésticas pueden realizar una autenticación basada en suplicantes, aunque la mayoría puede hacer una red de invitados con cautivaportal, no veo el sentido del portal cautivo si es un SSID único de todos modos, a menos que necesite que las personas acepten los T&C para indemnizarse si hacen algo malicioso.
La aleatorización de la dirección Mac solo se usa cuando se busca un SSID, la dirección Mac real del dispositivo todavía se usa para la conexión real.El portal cautivo le permite agregar una capa secundaria de autenticación que se puede cambiar fácilmente, no tiene nada que ver con la indemnización
Es bueno saberlo, ¡gracias por la información!
@hardillb Al menos en mi Pixel 3a, es una opción en la configuración qué MAC usar cuando está realmente conectado, y la opción aleatoria aparece como predeterminada.
v6ak
2019-10-06 14:07:51 UTC
view on stackexchange narkive permalink

Puede tener un SSID de invitado dedicado (si su enrutador lo admite). Esto puede separar a los invitados de ti hasta cierto punto, dependiendo de las capacidades del enrutador.

Si no quieres darles acceso permanente a los invitados, puedes cambiar la contraseña de vez en cuando.

Si desea ir más allá, puede mirar WPA2 / WPA3 Enterprise. Esto permite un mejor control de acceso. Sin embargo, probablemente no quieras hacer esto en la red Wi-Fi de tu hogar, porque es demasiado complejo de configurar y es posible que necesites un enrutador Wi-Fi mejor (y más caro) para eso.

Para obtener una explicación de por qué el código QR no oculta la contraseña, consulte la publicación de @ acejavelin.

Don King
2019-10-08 02:01:31 UTC
view on stackexchange narkive permalink

Tengo un segundo enrutador, solo uno pequeño y económico, conectado por cable al enrutador principal. Tienen diferentes redes wifi y diferentes contraseñas. Solo les doy a mis amigos la contraseña del segundo enrutador.

Puedo cambiarlo fácilmente en cualquier momento. O desconéctelo.

Creo que es una solución fácil y eficaz.

Esta es en realidad una solución terrible ... Les está dando a todos en el segundo enrutador acceso completo a todo en la red del primer enrutador, y nadie en la red del primer enrutador puede acceder a nada en el segundo.A menos que tenga aislamiento de cliente en la dirección IP asignada al segundo enrutador ...
¿Quién dijo que les estaba dando acceso a todos?¿Usted?Seguro que no.Puedo configurarlo para que no tengan acceso a las redes de los demás.Parece lo suficientemente seguro.
Si el puerto de Internet del enrutador 2 está conectado a la LAN de R1, todo lo que cualquier persona en R2 necesita saber es el esquema de direcciones IP de la LAN de R1.Para R2, su subred LAN de R1 es Internet, por lo que pueden acceder a todo lo que contiene como si estuvieran conectados directamente a ella.El enrutamiento IP simple lo dice a menos que haya realizado algunos cambios muy específicos que no son comunes en los enrutadores domésticos.Por ejemplo, si mi IP en R2 es 10.0.0.10 y su impresora en R1 es 192.168.1.50, puedo acceder a eso directamente porque R2 se enrutará felizmente a ese dispositivo ya que sabe exactamente dónde está.Sin embargo, su LAN R1 no sabe nada de 10.0.0.10.
Dependiendo de su enrutador, puede configurarlo para que no se muestren las redes de los demás.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 4.0 bajo la que se distribuye.
Loading...