10 votos

¿Cómo proteger mi contraseña de Wi-Fi para que no la muestren los teléfonos Android al compartirla con un código QR?

Me gustaría saber si hay alguna solución para proteger u ocultar la contraseña de mi router Wi-Fi TP-LINK para que no se muestre en los teléfonos Xiaomi (Redmi).

Si vamos al Wi-Fi en un teléfono Redmi y tocamos en el Wi-Fi previamente conectado, entonces el teléfono nos permite compartir la red Wi-Fi escaneando el código QR por algún otro teléfono o el mismo teléfono.

Vea las capturas de pantalla a continuación para entender mejor mi pregunta:

Wi-Fi Settings on Xiaomi phone Share Wi-Fi network showing a QR code

Y si escaneo este código QR con cualquier otro teléfono, entonces podemos ver fácilmente la contraseña:

Password is shown when another phone scans the QR code

¿Cómo puedo proteger mi contraseña Wi-Fi?

17 votos

Sólo una nota, pero el formato QR estándar para Wi-Fi incluye automáticamente la contraseña en texto plano (así que... todo el mundo puede saber tu contraseña de Wi-Fi ahora; ¿quieres eliminarla del historial de revisiones?) Así que asumo que lo que realmente quieres es más bien, deshabilitar esta función de compartir para un SSID específico en su lugar (si es que es posible)?

1 votos

Sólo quiero proteger mi contraseña de wifi para que no pueda ser detectada por ningún teléfono (código QR). Hay alguna opción en TP LINK?

6 votos

El código QR se genera sobre la marcha basándose en el formato anterior por el teléfono, no por el router; la configuración del router no tiene nada que ver con esto. La solución práctica es evitar totalmente compartir la configuración del Wi-Fi usando el código QR. La solución extendida (y necesaria para la investigación) es encontrar si es posible deshabilitar/proteger esta característica usando una contraseña sistemáticamente...

32voto

acejavelin Puntos 186

La respuesta a esta pregunta es más general que el hardware específico al que te refieres en tu pregunta, y no es específica de Android de ninguna manera, pero ya que esta pregunta parece surgir de vez en cuando la responderé lo mejor que pueda para que la gente pueda ver que esto no es "mágico" de ninguna manera.

La razón por la que esto muestra tu contraseña es que el código QR para la información del WiFi almacena y transmite la contraseña del WiFi en texto plano, de modo que cualquiera que escanee el código QR tendrá tu contraseña del WiFi. El código QR no es algo especial en este caso: aunque no se puede "leer" per se, cualquier dispositivo que conozca el código estándar utilizado para el símbolo QR puede leerlo como si fueran palabras en un papel. Así es como se hacen los códigos QR para WiFi y no importa si es un TP-Link, Asus, Linksys, o cualquier otro dispositivo que los cree: la contraseña está en texto plano. Tampoco importa qué dispositivo esté leyendo el código QR: ya sea Redmi, Samsung, Apple, Google, Huawei, o lo que sea, puede leer el código QR y mostrar el nombre de la red y la contraseña en texto plano, aunque algunas aplicaciones podrían "enmascarar" la contraseña para una privacidad básica (pero tienen la información).

La forma adecuada de manejar esta seguridad en un entorno doméstico es no dar la contraseña de su WiFi a sus amigos, sólo a su familia (o configurarla usted mismo para ellos, aunque pueden seguir siendo capaces de recuperar la contraseña). Y para el uso de tus amigos o invitados, ten un SSID separado con una contraseña simple que esté configurado para acceder sólo a Internet (comúnmente llamado Aislamiento del Cliente), posiblemente a una velocidad reducida. No conozco a TP-Link, pero muchas empresas como Asus tienen una aplicación para tu teléfono móvil que te permite habilitar muy rápidamente una red WiFi para invitados durante un determinado periodo de tiempo (digamos 4, 24, 72 horas) y luego la desactiva automáticamente. Este ejemplo es útil para los amigos que se quedan a cenar, todo el día, o el fin de semana quizás. Algunas personas, entre las que me incluyo, simplemente habilitan una red de invitados con una contraseña todo el tiempo, pero esta red tiene aislamiento de clientes (los usuarios sólo pueden acceder a Internet) y está regulada a un 1-2% de las velocidades de mi ISP (tienen 5Mbps de bajada y 500Kbps de subida para usar) y cambio la contraseña 3-4 veces al año y la pongo en la nevera. Ninguna de estas son respuestas perfectas a la seguridad, pero suelen ser lo suficientemente buenas.

De lo contrario, si le das a la gente acceso a tu red, también podrías darles la contraseña del WiFi... Una vez que se conectan al WiFi es en gran medida lo mismo que si se conectan a tu red con un cable y pueden acceder a todo, así que tener acceso físico a la red y tener la contraseña del WiFi son esencialmente la misma cosa. Además, es bastante fácil cambiar la contraseña del WiFi más tarde si es necesario para restringir el acceso. Tampoco es mala idea cambiar la contraseña del WiFi de forma regular, una vez cada 30-90 días más o menos, para que si la contraseña está ahí, no se pueda acceder a ella más tarde si las cosas cambian, como que tu amigo por la razón que sea ya no es tu amigo.

0 votos

En resumen, la conclusión es que no existe una solución técnica adecuada para este problema. Es muy extraño y ridículo que la tecnología haya mejorado tanto pero no tengamos ninguna técnica sólida para esto.

22 votos

@user3779493 podría ser mejor si usted puede pensar una idea sobre cómo mejorar esta tecnología... 1) el propósito del código QR Wi-Fi es compartir convenientemente la configuración Wi-Fi para que otros dispositivos se conecten, y necesitan el SSID y la contraseña. 2) si otros dispositivos se han conectado a ese AP Wi-Fi, y si esos dispositivos están rooteados, entonces también pueden recuperar la contraseña Wi-Fi almacenada localmente en sus dispositivos.

11 votos

@user3779493 La tecnología está ahí. Puedes tener un sistema más seguro con cada usuario con su propio nombre de usuario y contraseña. Pero si eliges una sola contraseña para todos entonces al darla tienes que revelarla. Esa es la naturaleza de una contraseña única. El teléfono del huésped tiene que recibir la contraseña de forma legible, ya sea un QR o un simple texto o tu boca diciéndoselo a tu huésped. Puedes ofrecerle al huésped que rellenes la contraseña por él en su teléfono.

12voto

Natkeeran Puntos 133

La respuesta corta a esta pregunta es que no puedes evitar que cualquiera que tenga la contraseña del WiFi la comparta. Que es exactamente lo que hace el teléfono cuando genera el código QR.

Si quieres evitar que los usuarios de tu red compartan el acceso con otros, tienes que usar algo más que la contraseña predeterminada WPA para asegurar la red. Hay varias soluciones posibles

  • Utilizar listas blancas de direcciones MAC, esto significa que sólo el hardware conocido podrá conectarse, incluso si tienen la contraseña (las direcciones MAC son fácilmente falsificadas con los ordenadores portátiles, no estoy seguro de si es posible sin jailbreaking un teléfono)

  • Utiliza WPA-TLS, esto utiliza certificados individuales para cada usuario, una vez instalado en el teléfono no hay manera de exportar la clave privada por lo que no hay manera de compartir con los demás (es posible extraer las claves en algunos teléfonos rotos por la cárcel que no tienen elementos de seguridad de hardware)

  • Utilizar un portal cautivo y exigir una segunda contraseña que cambie con regularidad (podría ser de un token 2fa que sólo se entregue a los usuarios autorizados)

Esta lista no es completa, pero debería ofrecerle algunas opciones que puede consultar.

1 votos

Las listas blancas/blancas de direcciones MAC son difíciles hoy en día... La aleatorización de la dirección MAC se está incorporando en los dispositivos con fines de privacidad, mi teléfono Pixel lo tiene. source.Android.com/devices/tech/connect/wifi-mac-randomization y los otros métodos suelen depender del hardware, no todos los equipos de redes domésticas pueden hacer autenticación basada en suplicantes, aunque la mayoría puede hacer una red de invitados con portal cautivo, no veo el punto del portal cautivo si es un SSID único de todos modos, a menos que necesites que la gente acepte T&C para indemnizarte si hacen algo malicioso.

3 votos

La aleatorización de la dirección Mac sólo se utiliza cuando se busca un SSID, la dirección Mac real del dispositivo se sigue utilizando para la conexión real. El portal cautivo le permite añadir una capa secundaria de autenticación que se puede cambiar fácilmente, no tiene nada que ver con la indemnización

0 votos

Es bueno saberlo, ¡gracias por la información!

4voto

v6ak Puntos 176

Puedes tener un SSID dedicado para invitados (si tu router lo admite). Esto puede separar a los invitados de ti hasta cierto punto, dependiendo de las capacidades del router.

Si no quieres dar acceso permanente a los invitados, puedes cambiar la contraseña de vez en cuando.

Si quieres ir más allá, puedes mirar WPA2/WPA3 Enterprise. Esto permite un mejor control de acceso. Sin embargo, probablemente no quieras hacer esto en tu Wi-Fi doméstica, porque es demasiado complejo de configurar y puede que necesites un router Wi-Fi mejor (y más caro) para ello.

Para explicar por qué el código QR no oculta la contraseña ver el post de @acejavelin.

3voto

DJP Puntos 29

Tengo un segundo router, uno pequeño y barato, conectado por cable al router principal. Tienen diferentes redes wifi y diferentes contraseñas. A mis amigos les doy la contraseña del segundo router solamente.

Puedo cambiarlo en cualquier momento fácilmente. O desconectarlo.

Me parece una solución fácil y eficaz.

0 votos

Esta es en realidad una solución terrible... Estás dando a todo el mundo en el segundo router acceso completo a todo en la red del primer router, y nadie en la red del primer router puede acceder a nada en el segundo. A menos que tengas aislamiento de clientes en la dirección IP asignada al segundo router...

0 votos

¿Quién dijo que iba a dar acceso a todo el mundo? ¿Tú? Seguro que no. Puedo configurarlo para que no tengan acceso a las redes de los demás. Parece lo suficientemente seguro.

0 votos

Si el puerto de Internet del router 2 está conectado a la LAN de R1, todo lo que necesita saber cualquier persona en R2 es el esquema de direcciones IP de la LAN de R1. Para R2, la subred de la LAN de R1 es Internet, así que pueden acceder a todo lo que hay en ella como si estuvieran conectados directamente a ella. El simple enrutamiento IP lo dice, a menos que hayas hecho algunos cambios muy específicos que no son comunes en los routers domésticos. Por ejemplo, si mi IP en el R2 es 10.0.0.10 y su impresora en el R1 es 192.168.1.50, puedo acceder a ella directamente porque el R2 enrutará alegremente a ese dispositivo ya que sabe exactamente dónde está. Sin embargo, tu LAN R1 no sabe nada de la 10.0.0.10.

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X