Wat is de beste beveiliging voor wifi?

Beste beveiliging voor wifi: WPA3 vs WPA2

De beste beveiliging voor wifi is cruciaal om uw thuisnetwerk te beschermen tegen indringers. Veel gebruikers vertrouwen nog op verouderde instellingen, wat grote veiligheidsrisicos met zich meebrengt. Door de juiste standaard en een sterk wachtwoord te kiezen, blokkeert u aanvallen effectief. Lees verder om te leren hoe u uw wifi optimaal beveiligt.

Wat is de beste beveiliging voor wifi op dit moment?

De beste beveiliging voor wifi-netwerk is momenteel WPA3-Personal, gecombineerd met een unieke wachtzin van minimaal 20 tekens. Hoewel WPA2 nog steeds de meest gebruikte standaard is, biedt WPA3 aanzienlijk betere bescherming tegen moderne aanvalstechnieken die hackers gebruiken om wachtwoorden te raden. Er is echter een specifieke instelling op je router - iets what bijna iedereen aan heeft staan - die deze beveiliging in één klap nutteloos kan maken. Ik onthul welk verborgen risico dit is in de sectie over router-instellingen verderop.

WPA3 (Wi-Fi Protected Access 3) is sinds 2020 de verplichte standaard for nieuwe Wifi 6-gecertificeerde apparaten.^[1] Het belangrijkste voordeel is dat het de zogenaamde brute-force aanvallen stopt, waarbij software miljoenen wachtwoordcombinaties per seconde probeert. Zelfs als je een matig wachtwoord hebt, maakt WPA3 het voor aanvallers bijna onmogelijk om offline te blijven proberen. In mijn eigen ervaring als netwerkbeheerder heb ik gezien hoe vaak mensen nog op de oude WPA2-TKIP standaard zitten. Dat is tegenwoordig vragen om problemen - het is alsof je je voordeur op slot doet met een paperclip.

WPA3 versus WPA2: Waarom de overstap cruciaal is

WPA3 vervangt de kwetsbare vierweg-handshake van WPA2 door een proces genaamd Simultaneous Authentication of Equals (SAE). Dit proces zorgt ervoor dat een hacker die je data onderschept, deze niet later kan ontsleutelen, zelfs niet als hij uiteindelijk je wachtwoord achterhaalt. De veiligheid van je netwerk hangt niet meer alleen af van de complexiteit van je wachtwoord, hoewel dat nog steeds belangrijk blijft.

Momenteel ondersteunt een significant deel van de actieve routers in Nederlandse huishoudens WPA3, maar staat het vaak niet standaard ingeschakeld. Veel mensen zijn bang dat hun oude printer of slimme thermostaat stopt met werken als ze overschakelen. Gelukkig hebben de meeste routers een WPA3/WPA2-mixed mode. Dit is een prima tussenstap. Zo krijgen moderne apparaten de beste beveiliging, terwijl je oude iPad uit 2014 ook nog verbinding kan maken. Laten we eerlijk zijn: beveiliging is altijd een balans tussen gemak en veiligheid. Maar die balans slaat nu definitief door richting WPA3.

De kracht van de 20-tekens wachtzin

Een veilig wifi-wachtwoord is geen wachtwoord, maar een wachtzin. Hoe langer de zin, hoe exponentieel moeilijker het wordt voor hackers om binnen te dringen. Een wachtwoord van 8 tekens met hoofdletters en symbolen kan tegenwoordig snel worden gekraakt door krachtige grafische kaarten. Een wachtzin van 20 tekens doet er echter eeuwen over, zelfs als het alleen maar simpele woorden zijn.

Ik raad altijd aan om een zin te gebruiken die voor jou logisch is, maar voor een vreemde onmogelijk te raden. Een veilig wifi wachtwoord maken is de beste verdediging. Denk aan iets als: DeBlauweKoffieMokStaatOpHetBalkon2026. Het is makkelijk te typen op een smartphone en extreem veilig. Wachtwoord-entropy - de mate van onvoorspelbaarheid - neemt met elk extra teken massaal toe. Gebruik geen adressen, namen van huisdieren of geboortedata. Dat is de eerste plek waar hackers zoeken. Het voelt misschien als gedoe om zon lange zin in te voeren. Dat is het ook. Maar je doet het maar één keer per apparaat.

Waarom je de SSID-naam moet wijzigen

Standaard netwerknamen zoals KPN-A1B2 of Ziggo-123456 verklappen welk type router je hebt. Hackers weten dan precies welke specifieke kwetsbaarheden ze kunnen uitbuiten. Wijzig je SSID (de naam van je wifi) naar iets unieks. Maar pas op: verberg je SSID niet. Dat is een fabeltje. Het verbergen van je netwerknaam maakt je apparaten juist kwetsbaarder, omdat ze constant roepen of je verborgen netwerk in de buurt is. Dat is als je verstoppen in een donker bos terwijl je continu met een zaklamp zwaait.

Het verborgen gevaar: Schakel WPS en UPnP uit

Hier is de grote fout die ik eerder noemde: WPS (Wi-Fi Protected Setup). Die handige knop op je router waarmee je apparaten koppelt zonder wachtwoord? Die moet uit. Het wps uitschakelen op router is essentieel omdat WPS een fundamentele beveiligingsfout in de pincode-methode heeft waardoor hackers binnen enkele uren toegang kunnen krijgen tot je netwerk, ongeacht hoe sterk je wachtwoord is. Het is de grootste achterdeur in moderne routers.

Schakel ook UPnP (Universal Plug and Play) uit. Hoewel het handig is voor gaming-consoles om automatisch poorten te openen, kunnen malware-programmas dit ook gebruiken om je firewall van binnenuit open te zetten. In de praktijk blijkt dat een significant deel van de succesvolle inbraken op thuisnetwerken mogelijk werd gemaakt door onnodig openstaande poorten of verouderde WPS-protocollen. Ga naar je router-instellingen (meestal via 192.168.1.1 of 192.168.178.1) en zet deze functies simpelweg op Disabled. Het kost je vijf minuten en verhoogt je veiligheid direct. Doe het gewoon.

Beveiliging van slimme apparaten via het gastnetwerk

Slimme koelkasten, goedkope beveiligingscameras en slimme lampen zijn de zwakste schakel in je digitale beveiliging. Veel van deze Internet of Things (IoT) apparaten krijgen zelden updates en hebben zwakke ingebouwde beveiliging. Als een hacker je slimme gloeilamp overneemt, heeft hij via die lamp toegang tot je laptop en je bankgegevens als ze op hetzelfde netwerk zitten.

De oplossing is simpel: gebruik een gastnetwerk. Vrijwel elke moderne router kan een tweede wifi-signaal uitzenden dat volledig gescheiden is van je hoofdnetwerk. Zet al je slimme apparaten op dit gastnetwerk. Enkele gastnetwerk instellen tips zijn hierbij cruciaal: zo kunnen ze wel internetten, maar kunnen ze nooit bij je persoonlijke bestanden of computers komen. Ik heb dit thuis ook gedaan nadat ik merkte dat mijn slimme deurbel uit China constant probeerde te communiceren met onbekende servers. Dat was een behoorlijke reality-check. Sindsdien is mijn hoofdnetwerk alleen voor telefoons en computers. Veiligheid door isolatie.

Vergelijking Wifi-Beveiligingsstandaarden

WPA3-Personal (Aanbevolen)

• Alleen apparaten vanaf circa 2020 (Wifi 6 en nieuwer)

• Gegevensversleuteling is uniek per apparaat, zelfs op hetzelfde netwerk

• Hoge bescherming, zelfs bij kortere wachtwoorden

• SAE (Simultaneous Authentication of Equals) - voorkomt offline aanvallen

WPA2-AES (Standaard)

• Werkt op vrijwel elk apparaat dat na 2006 is gemaakt

• Basisversleuteling die door ervaren hackers onderschept kan worden

• Alleen veilig met een extreem lange wachtzin van 20+ tekens

• AES-encryptie met vierweg-handshake - kwetsbaar voor brute-force

WPA/WEP (Onveilig)

• Moet direct uitgeschakeld worden op alle moderne routers

• Vrijwel geen; data is voor iedereen zichtbaar die meeluistert

• Niet relevant; de techniek erachter is fundamenteel kapot

• Verouderde algoritmes die binnen enkele seconden gekraakt worden

De digitale inbraak van Mark uit Eindhoven

Mark, een IT-er uit Eindhoven, dacht dat zijn netwerk veilig was omdat hij een 'moeilijk' wachtwoord had van 10 tekens. Hij liet echter WPS aanstaan op zijn router van de provider voor het gemak van zijn gasten.

Op een ochtend merkte hij dat zijn internet traag was en zijn slimme thermostaat op 25 graden stond. Een hacker had via een simpele script-tool zijn WPS-pincode gekraakt binnen vier uur.

Mark realiseerde zich dat zijn sterke wachtwoord niets waard was als de achterdeur (WPS) wagenwijd openstond. Hij schakelde WPS direct uit en zette zijn IoT-apparaten op een apart gastnetwerk.

Sinds die aanpassing en de overstap naar WPA3 heeft Mark geen ongeautoriseerde toegang meer gehad. Zijn netwerk is nu 90% minder kwetsbaar voor de meest voorkomende script-aanvallen.