Ik mis drie dingen: 1) wie lopen de grootste risico's, 2) wat zijn die risico's en 3) wat is precies een sterk wachtwoord.

1) Wie lopen de gootste risico's
Aanvallers moeten in de eerste plaats binnen het bereik van het Wi-Fi modem zijn om het wachtwoord te kunnen achterhalen (of dit kunnen aflezen als je het ergens hebt opgeschreven, zoals een gasten-Wi-Fi wachtwoord bij de meeste kleine MKB-ers). Ik hoop dat iedereen snapt dat je dit wachtwoord niet ergens op een webpagina zet.

In elk geval kunnen aanvallers niet via internet (vanuit Rusland bijvoorbeeld) zo'n wachtwoord proberen te kraken. Doorsnee huishoudens lopen waarschijnlijk een niet zo groot risico, maar je kunt nooit uitsluiten dat als aanvallers vermoeden dat er bij jou wat te halen valt, vooral als je digibeet bent, voor jouw deur gaan staan en het wachtwoord proberen te kraken. Een groter risico lopen ouderen, welgestelden en MKB's (waaronder winkels).

2) Wat zijn de risico's
Het risico is dat een aanvaller in onversleutelde sessies kan meekijken, informatie kan wijzigen of je naar een compleet andere site kan sturen (DNS is meestal onversleuteld). Ook kan hij https sessies proberen te kapen, maar dat is niet altijd succesvol. Ten slotte is het soms mogelijk om instellingen te wijzigen en/of malware te installeren (zowel op toestellen als het modem), al dan niet met gebruik van enige social engineering. Dit kan in de volgende situaties:

a) De aanvaller bevindt zich (opnieuw) binnen de reikwijdte van jouw Wi-Fi modem en weet sessies te kapen;

b) De aanvaller bevindt zich binnen de reikwijdte van iemand die het SSID en Wi-Fi wachtwoord van jouw modem in zijn toestel heeft. Als hij een persoon volgt die jouw huis of bedrijf verlaat, kan zijn apparatuur zich eenvoudig voordoen als jouw Wi-Fi modem. Als het slachtoffer niet merkt dat zij nog of opnieuw "verbinding heeft" met jouw Wi-Fi modem, kan de aanvaller eenvoudig meekijken en manipuleren.

3) Wat is een sterk Wi-Fi wachtwoord
Om het aanvallers voor je deur lastig te maken, is een LANG Wi-Fi wachtwoord essentieel!

Om het overdragen (voorlezen+luisteren) en overtikken daarvan niet al te moeilijk te maken, kun je het beste een aantal woorden achter elkaar zetten gescheiden door cijfers en/of leestekens. Voorbeelden:

- Met elk 4e karakter een hoofdletter: wooRden3schIeten0mij9tekOrt
- Met elk laatste karakter een hoofdletter: oosT+wesT=stinkendE!besT

Om zo'n wachtwoord te achterhalen moet de aanvaller een zeer langdurige brute force aanval op jouw modem uitvoeren. Zoveel geduld hebben deze mensen meestal niet, tenzij er veel bij jou te halen valt; maak het wachtwoord dan gewoon nog wat langer (de maximale lengte is, meen ik, 63 tekens).

In thuissituaties mag je het wachtwoord opschrijven (sterker, dat raad ik aan) bijv. op een Post-It waarna je deze op het modem plakt of een andere, voor jou makkelijk te onthouden, plaats. Op plaatsen waar niet-vertrouwde mensen kunnen komen, hou je dit natuurlijk achter slot en grendel.

Belangrijk: in hoe meer toestellen dit wachtwoord is overgenomen en/of er door vreemden kan zijn ingezien (denk aan kijkers bij een huis dat te koop staat), hoe vaker je het moet wijzigen! Smartphones en tablets verwisselen vaak van eigenaar zonder dat deze grondig worden gereset. Ik heb meegemaakt dat het zoontje van een medewerkster met zijn smartphone onverwacht op een van de WiFi netwerken kon omdat hij het oude toestel van zijn moeder had gekregen.

Als er werkzaamheden in je huis plaatsvinden (schilder etc). kun je ook overwegen om voor die periode tijdelijk een ander Wi-Fi wachtwoord in te stellen, en de oude weer terug te zetten zodra de werkzaamheden zijn afgerond (en bijv. je kinderen naar het resultaat komen kijken).

Het kan niet vaak genoeg herhaald worden:
Als je voor een bepaalde doelstelling de keuze/mogelijkheid hebt voor bekabeld: neem dan die extra moeite! en leg een kabeltje!

Ik denk niet dat het helpt als providers heel lange wachtwoorden instellen.
En wel hierom: als het wachtwoord heel onhandig en lang is zal de klant eerder gaan uitzoeken hoe hij zelf een
wachtwoord kan instellen zodat hij niet bij ieder apparaat een bijna onmogelijk lang wachtwoord via een primitief
invoermechanisme naar binnen moet friemelen.
Het nieuwe door de klant gekozen wachtwoord is vast zwakker dan een random string van de provider.
Het zal dus een verslechtering worden ten op zichte van wat er nu gebruikt wordt, behalve dan wellicht wat Orange doet.

Beetje jammer dat dit soort "pen test amateurs" altijd alleen kijken als een nerd en zich niet bezig houden met hoe
een eindgebruiker er mee omgaat. Daarmee maken ze meer kapot dan dat ze helpen.

Wat een onzin bericht is dit. Hoeveel mensen hebben een langer wifi wachtwoord dan 10 karakters. Heel misschien 10% van de Nederlanders? Nou dat duurt dus maximaal 19 dagen om te hacken als we het mogen geloven en waarschijnlijk kan het nog vele malen sneller.

Het punt is consumenten WIFI is per definitie onveilig. Of je moet de zakelijke wifi variant gaan gebruiken met radius bijv. Maar je kunt providers toch niet kwalijk nemen dat ze geen 63 karakter lange keys gaan instellen, het draait om gebruikersvriendelijkheid. Ja ok ze gebruiken niet een volledig karakter set maar dat veranderd weinig aan de zaak. Consumenten WIFI is namelijk ALTIJD te hacken. De enige beperking hier is tijd. Overheden/veiligheidsdiensten kunnen dit binnen 1 minuutje en je cyberbuurman van de hoek doet er een paar dagen over.

Kortom gebruik liever een bekabeld netwerk en alleen wifi als het nodig is.

Al die kabel-roepers hierboven: ja hoor, leg jij maar een kabel naar je telefoon.

Als je nou toch een alternatief wilt voorstellen, en ook als reactie op de 1e posting:

Het is niet noodzakelijk zo dat je WiFi verbonden is met je bekabelde netwerk. En meestal is dat ook helemaal niet
meer nodig tegenwoordig. Vroeger wilde je met je laptop een verbinding maken met gedeelde files op je vaste computer,
maar wie wil dat soort dingen nog tegenwoordig???

Configureer je router zo dat er vanaf de WiFi alleen internet toegang is en geen verbinding met het vaste netwerk.
Als je een beetje redelijke router hebt kun je ook 2 of meer SSID's aanmaken die wat dat betreft verschillend geconfigureerd
zijn. Ook kun je instellen dat de WiFi clients niet onderling mogen communiceren, en daarmee het "aanvallen van de
andere apparatuur" in ieder geval een stuk lastiger maken.

Voor gasten maak je een gasten netwerk. Ook met alleen internet toegang natuurlijk.
Daar hoeft eigenlijk helemaal geen wachtwoord op. Ik heb hier tijden het gasten netwerk zonder wachtwoord gedraaid
tot kennelijk de buurman zijn mediaspeler er aan gehangen had en via mijn verbinding films ging downloaden. Dat vind
ik nou ook weer niet nodig dus nu zit er een (zwak) wachtwoord op. Pogingen om dat te kraken heb ik niet gezien.
Maar degenen die ingelogd zijn op het gasten netwerk kunnen toch al niet bij het normale netwerk.

Goed, tot zover de behandeling van de "adviezen".
Niet zo relevant, want daar gaat het helemaal niet om in dit artikel. Waar het om gaat is of een door de provider
ingesteld random wachtwoord langer moet zijn omdat het dan moeilijker te kraken is. Ik denk van niet, ik denk dat
dat contraproductief is. Ik denk dat dit soort adviezen door IT-nerds zoals dit bedrijf laten opstellen dom en gevaarlijk
is. Haal er liever iemand bij die in de samenleving staat.

Hoe zit het dan met ziggo WiFi spots.

No way. Dat het hier zo snel gaat komt doordat alleen de karakters 0-9 en A-F (=hexadecimaal) zijn gebruikt.
Het wachtwoord is dus uit maar 16 verschillende tekens gekozen, en dit levert 16^10 = ca. 1.1 biljoen mogelijke wachtwoorden op.
Als dit na 19 dagen gegarandeerd is gekraakt, dan is de brute force snelheid zowat 670.000 pogingen per seconde.
(een hele respectabele snelheid, maar er bestaan forensische systemen die het nog een aantal malen sneller doen)

Stel nu dat je je 10 karakters niet kiest uit 16 verschillende karakters maar uit alle mogelijke 95 printbare ASCII karakters,
dan wordt het aantal mogelijkheden 95^10 = ca. 5,987 E19.
Dit zijn ruim 54 miljoen maal zoveel mogelijke wachtwoorden, en het duurt dan ook gemiddeld 54 miljoen keer langer om zo'n wachtwoord te kraken bij dezelfde brute force -snelheid. Je moet alleen geen gemakkelijk wachtwoord of bekend wachtwoord kiezen dat bij WPA2-krakers in een dictionary voorkomt, want die combinaties proberen ze eerst.
54 miljoen x 19 dagen is al heel wat jaartjes, dus 10 karakters kán al behoorlijk veilig zijn.
Maar pas op, want het komt dan wel heel erg aan op een strategische en originele keuze van je 10 wachtwoordkarakters!

Die gebruiken een radius server. De hele authenticatie gebeurt dan niet in de router, maar bij een server van Ziggo. Die kijkt ook of je niet te vaak gelijktijdig ingelogd bent met hetzelfde account (Ik dacht maximaal twee verbindingen per account).

Ik heb geen idee of die te brute forcen is, of dat Ziggo een maximum stelt aan het aantal foute pogingen. Maar ook al weet je binnen te komen, dan zit je nog op een gescheiden systeem en niet op de LAN.

Ik denk dat dit nogal meevalt. De meeste mensen hebben helemaal geen zin om in de router in te loggen of daar iets aan te veranderen. Als er een long wachtwoord op de onderkant van de router staat, zal het gros dat gewoon accepteren.
Maar dan wel graag met streepjes o.i.d. tussen elke 5 tekens, zodat je de tel niet kwijt raakt bij het overtikken.

Beter was het als de software niet meer dan 1 poging per 5 seconden accepteert. Bij handmatig intikken heb je geen last van die vertraging, maar het maakt brute forcen een stuk trager.

Uh, de genoemde tijdsduren voor het kraken gaan natuurlijk over *offline* aanvallen.
Zelfs zonder bewuste vertraging kan het CPU'tje van een modem niet zo veel inlogpogingen per seconde aan.
Noch kan het netwerk dat soort aantallen inlog-packets per seconde versturen .

'Brute force' heeft eigenlijk alleen betekenis bij off-line aanvallen

Geen probleem! Er zijn USB OTG / Micro USB naar Ethernet kabels :)
Check de video https://www.youtube.com/watch?v=BkJBV82sj34

De eerste post van 09:49uur was nog niet zichtbaar toen ik mijn bijdrage had gepost. Dat komt door het moderatie-systeem van security.nl
Niemand, en ik ben het dus met je eens hoor!
Het mallotige is echter dat er nogal wat produkten op de markt zijn die dat default zo ingesteld hebben staan.
Voorbeeld is mijn €49,00 'very basic' Canon printertje dat toen ik het voor de eerste keer aanzette doodleuk een Wifi verbinding zocht, terwijl ik het met een USB kabel had aangesloten op mijn W8.1 computer.

Inderdaad wordt veel standaard slecht afgeleverd: met alles open, camera's aan, Bluetooth en WIFI open en aan, en vaag vraagt het ook nog meteen naar de credit-cardgegevens (iPad-installatie): het meeste scoort dan ook slecht in termen van beveiliging en gebruiksgemak. Onder dat laatste versta ik dat je spullen afdoende beveiligd zijn en dat je je niet eerst een dag in allehande instellingen moet verdiepen om bijvoorbeeld een modem of camera te configureren. Nu wil iedereen wellicht wat anders, maar de meesten zullen toch liever veilig zijn, dan dat je meteen virussen hebt of erger.

Helaas helpt niet.
Wie wifi effectief wil kraken vangt met een stukje kant en klare software een geldige WPA2 handshake af
en daarmee wordt verder geheel offline het wachtwoord gekraakt.

hoe kan het zijn dat de ww'en van Virgin, die slechts kiest uit 26 karakters, 24x zoveel tijd kosten om te kraken dan de ww'en van AOL, die kiest uit een set van 36? (en allebei even lang, anders zou het wel kunnen kloppen). En dan van Sky, nog 2x beter? Statistisch gezien klopt dit niet...

Klopt, zie bijvoorbeeld https://www.howtogeek.com/202441/your-wi-fi%E2%80%99s-wpa2-encryption-can-be-cracked-offline-here%E2%80%99s-how/

Mensen kunnen zich wel helemaal suf whatsappen via datzelfde primitieve invoermechanisme, maar af en toe een wachtwoord van 20 karakters invoeren is volgens jou te lastig. Vertrouw jij ook nog steeds op jouw blikken fietsslot achter Leiden centraal?

Ik begrijp werkelijk niet waarom notabene bezoekers van security.nl onderbouwde adviezen in de wind slaan met kul argumenten als "te lastig", alleen voor pentesters etc. (paranoïde autisten roepen onbreekt er nog aan). Kruip lekker weer onder je steen of kom met valide onderbouwde argumenten waarom de stelling onjuist zou zijn.

Als ze nou eens in de installatie procedure zouden afdwingen om zelf een (sterk) wachtwoord in te stellen, dan zou dat een hoop problemen oplossen. Maarja, dat lijken providers lastig te vinden. Waardoor je standaard wachtwoorden, of te voorspelbare wachtwoorden krijgt. Waarbij je iedere klant van een provider die geen eigen wachwoord hebben gekozen vrij snel kan hacken. Providers weten dit al jaren, maar het boeit ze kennelijk totaal niet.

Het probleem zit vaak niet in de lengte/complexiteit van het wachtwoord maar de ontzettend omslachtige wijze waarop je dat moet invoeren op je device. Een wachtwoord van 25 karakters is vast lastiger dan eentje van 5. Maar hoe geef je je klanten, je bezoek of je kinderen dat wachtwoord van 25 karakters?

"Nee, papa legt het nog een keertje uit. Het wachtwoord is 'woorden schieten mij te kort', maar dan zonder spaties, de eerste R is een hoofdletter, de, tussen woorden en schieten een 3, tussen schieten en mij een 0. NEE luister nou! GEEN SPATIES! En geen o maar een 0! Tjonge! Moet papa het weer zelf doen!"

En dat dan op je TV, je thermostaat, je Hue bridge, je waterkoker, je deurbel, je webcam, je koelkast en wasmachine.

Dit is in Nederland toch niet zo veel anders met bijvoorbeeld Ziggo, KPN etc...

Op een papiertje schrijven en over laten tikken?
Daarna papiertje naar keuze achter slot en grendel of in de versnipperaar (of opeten als je heel paranoïde bent)?

Een zwaar kettingslot meezeulen en gebruiken is gedoe maar op veel plaatsen ook noodzakelijk als je later weer op je eigen fiets wilt stappen. Bromfietshelmen en veiligheidsgordels zijn ook niet leuk maar kunnen wel levens redden.

Deal with it.

Als je 50 keer per dag moet inloggen, dan wil je dat snel en uit je hoofd kunnen doen. Zo simpel is het.

Dat is omdat het niet zozeer geinterpreteerd moet worden als een advies om zelf uit te voeren, maar omdat het nut van
het advies zelf twijfelachtig is. Het heeft niet veel zin om miljoenen klanten van een internet provider erop te wijzen
dat hun modem/router beter beveiligd zou kunnen worden. Daar zal 90% of meer toch niks mee doen.
En helemaal slecht wordt het als er aan de providers geadviseerd wordt om lange moeilijke wachtwoorden in te stellen,
want daarmee wordt de klant nog meer in de verleiding gebracht om deze weg te halen.

Een lang wachtwoord is echt erg omslachtig op een smartphone en een tikfout is daar funest. Bij whatsapp of een ander programma is een tikfout minder erg. De ander begrijpt het meestal wel.

Vroeger liet ik random wachtwoorden van ca 30 tekens genereren. Dat was nog voordat ik een smartphone had. Op mijn smartphone moest ik dat ww soms wel 10 keer opnieuw intypen voordat het geaccepteerd werd. Dat komt ten dele doordat de toetsen veel te dicht bij elkaar zitten. En omdat veel apps niet toelaten om het ingetikte woord te zien, merk je tikfouten pas op als je het wachtwoord bevestigd.

Sindsdien maak ik wachtwoorden in blokjes van 4 of 5 tekens. (Nog steeds ca 30 tekens lang, excl de scheidingstekens) Dan maak je minder snel fouten bij het overtikken.

Als je die wachtwoorden vaak moet intikken, kan ik me voorstellen dat je ze korter wilt hebben. Voor wifi of email wachtwoorden, die je meer éénmalig hoeft in te voeren, kan zo'n lang ww nog. Het is dan gewoon even doorbijten, totdat hij goed ingegeven is.

Nou dan heb je het nog over een smartphone. Maar wat dacht je als het een kamerthermostaat of TV settopbox ofzo
is waar je alleen maar door +/-/OK keuzes letter voor letter erin kunt prutsen? Dan is het geen wonder dat mensen op
een gegeven moment maar WPS gaan aanzetten. Nou dan ben je verder van huis dan met een wachtwoord van 8 tekens!

Weet je wat het funeste is. We spreken hier van "standaard wifi-wachtwoorden". Die dingen hóren eigenlijk niet nodig te zijn maar zijn enkel nog aanwezig omdat;

- de gemiddelde persoon te dom of lui is alvoor een modem-installatie een apparaat met kabel te voorzien (beschouw ik als logisch om wél te doen)
- als er geen wachtwoord ingesteld wordt heel veel mensen al genoegen nemen met keys als "draadloos1" omdat ze geen moeilijker wachtwoord "kunnen"(willen dus) verzinnen/gebruiken
- vervolgens bedenkt de fabrikant maar een manier om standaardwachtwoorden aan te maken, maar om invoerfouten en onnodige ondersteuningsmomenten te voorkomen worden geen al te lange/moeilijke wachtwoorden gebruikt.

Pur sec zie ik dit als de schuld va de eindgebruiker; telkens en weer als een fabrikant daadwerkelijk sterke wachtwoorden wil toepassen word je overspoeld door mensen die hun eigen wachtwoordinvoer kunnen controleren...

Zijn ze ook niet, want er is immers WPS!
Maar ja...

Misschien omdat die personen een hoop ervaring hebben? En weten hoe de wereld echt in elkaar zit. Security draait niet om wie het het sterkste en langste wachtwoord. Als ik alleen al aan de gezichten moet denken, mijn Wifi wachtwoord is: ^5A]t)J[t3!8I&Qb=..... Leuk typen op je telefoon. En even draarna de vraag is het de hoofdletter india, l van leo, of een ander teken. Of eventueel nog een leuke: 0,o, O. Vaak ook erg gemakkelijk te lezen.

Dus nee.... Soms is eenvoudig een stuk beter.

Daar verbaasde me ik ook al over...

'n verklaring zou kunnen zijn dat de wachtwoorden niet volledig random aangemaakt worden, maar mbv een algoritme wat een flink deel van de entropy wegsloopt... Bijvoorbeeld een regel in het algoritme om wachtwoorden meer 'leesbaar' of 'uitspreekbaar' te maken, door klinkers en medeklinkers af te wisselen...

Alsof WPS zo veilig is...

https://www.howtogeek.com/176124/wi-fi-protected-setup-wps-is-insecure-heres-why-you-should-disable-it/