13 votes

Comment protéger mon mot de passe Wi-Fi contre l'affichage par les téléphones Android lorsque je le partage avec un code QR ?

Je voudrais savoir s'il existe une solution de contournement pour protéger ou masquer le mot de passe de mon routeur Wi-Fi TP-LINK afin qu'il ne s'affiche pas sur les téléphones Xiaomi (Redmi).

Si nous allons dans la section Wi-Fi d'un téléphone Redmi et que nous tapons sur le Wi-Fi précédemment connecté, alors le téléphone nous permet de partager le réseau Wi-Fi en scannant le code QR d'un autre téléphone ou du même téléphone.

Voir les captures d'écran ci-dessous pour mieux comprendre ma question :

Wi-Fi Settings on Xiaomi phone Share Wi-Fi network showing a QR code

Et si je scanne ce code QR avec n'importe quel autre téléphone, alors nous pouvons facilement voir le mot de passe :

Password is shown when another phone scans the QR code

Alors comment protéger mon mot de passe Wi-Fi ?

33voto

acejavelin Points 5816

La réponse à cette question est plus générale que le matériel spécifique auquel vous faites référence dans votre question, et n'est en aucun cas spécifique à Android, mais puisque cette question semble se poser de temps en temps, je vais y répondre du mieux que je peux afin que les gens puissent voir qu'il ne s'agit en aucun cas de "magie".

La raison pour laquelle votre mot de passe est affiché est que le code QR pour les informations WiFi stocke et transmet le mot de passe WiFi en texte clair, de sorte que toute personne qui scanne le code QR aura votre mot de passe WiFi. Le code QR n'a rien de spécial : bien que vous ne puissiez pas le "lire" en soi, tout appareil connaissant le code standard utilisé pour le symbole QR peut le lire comme des mots sur une feuille de papier. C'est ainsi que sont réalisés les codes QR pour le WiFi et peu importe qu'il s'agisse d'un appareil TP-Link, Asus, Linksys ou autre qui les crée : le mot de passe est en texte clair. L'appareil qui lit le code QR n'a pas non plus d'importance : qu'il s'agisse d'un Redmi, d'un Samsung, d'un Apple, d'un Google, d'un Huawei ou autre, il peut lire le code QR et afficher le nom du réseau et le mot de passe en texte clair, bien que certaines applications puissent "masquer" le mot de passe pour des raisons de confidentialité (mais elles disposent de l'information).

La bonne façon de gérer cette sécurité dans un environnement domestique est de ne pas donner votre mot de passe WiFi à vos amis, mais uniquement à votre famille (ou de le configurer vous-même pour eux, bien qu'ils puissent toujours récupérer le mot de passe). Et pour l'usage de vos amis ou invités, ayez un SSID séparé avec un mot de passe simple qui est configuré pour accéder uniquement à l'Internet (communément appelé Isolation du client), éventuellement à un débit réduit. Je ne connais pas TP-Link, mais de nombreuses sociétés comme Asus ont une application pour votre téléphone portable qui peut très rapidement vous permettre d'activer un réseau WiFi invité pour une certaine période de temps (disons 4, 24, 72 heures) puis de le désactiver automatiquement. Cet exemple est utile pour les amis qui sont là pour le dîner, la journée entière ou le week-end peut-être. Certaines personnes, dont je fais partie, se contentent d'activer en permanence un réseau d'invités avec un mot de passe, mais ce réseau est isolé du client (les utilisateurs ne peuvent accéder qu'à Internet) et il est limité à environ 1 à 2 % des vitesses de mon fournisseur d'accès (ils peuvent utiliser 5 Mbps en aval et 500 Kbps en amont) ; je change le mot de passe 3 à 4 fois par an et je l'affiche sur le réfrigérateur. Aucune de ces solutions n'est parfaite en matière de sécurité, mais elles sont généralement suffisantes.

Sinon, si vous donnez à des personnes l'accès à votre réseau, vous pouvez tout aussi bien leur donner le mot de passe WiFi... Une fois qu'ils sont connectés au WiFi, c'est en grande partie la même chose que s'ils se branchent sur votre réseau avec un câble et peuvent accéder à tout, donc avoir un accès physique au réseau et avoir le mot de passe WiFi sont essentiellement la même chose. De plus, il est assez facile de changer le mot de passe WiFi plus tard si nécessaire pour restreindre l'accès. Ce n'est pas non plus une mauvaise idée de changer votre mot de passe WiFi régulièrement, une fois tous les 30-90 jours environ, de sorte que si le mot de passe existe, il ne peut pas être accédé plus tard si les choses changent, comme votre ami pour une raison quelconque n'est plus votre ami.

12voto

hardillb Points 225

La réponse courte à cette question est que vous ne pouvez pas empêcher quelqu'un qui a le mot de passe WiFi de le partager. C'est exactement ce que fait le téléphone lorsqu'il génère le code QR.

Si vous voulez empêcher les utilisateurs de votre réseau de partager l'accès avec d'autres, vous devez utiliser un autre mot de passe que le WPA par défaut pour sécuriser le réseau. Il existe un certain nombre de solutions possibles

  • Utilisez des listes blanches d'adresses MAC, ce qui signifie que seul le matériel connu sera autorisé à se connecter même s'il a le mot de passe (les adresses MAC sont facilement usurpées avec les ordinateurs portables, je ne suis pas sûr que ce soit possible sans jailbreaker un téléphone).

  • Utilisation de WPA-TLS, qui utilise des certificats individuels pour chaque utilisateur, une fois installé sur le téléphone, il n'y a aucun moyen d'exporter la clé privée et donc aucun moyen de la partager avec d'autres (il est possible d'extraire les clés sur certains téléphones cassés qui n'ont pas d'éléments de sécurité matériels).

  • Utilisez un portail captif et exigez un second mot de passe qui change régulièrement (il pourrait s'agir d'un jeton 2fa donné uniquement aux utilisateurs autorisés).

Cette liste n'est pas exhaustive, mais elle devrait vous donner quelques pistes à suivre.

4voto

v6ak Points 1125

Vous pouvez avoir un SSID dédié aux invités (si votre routeur le prend en charge). Cela peut séparer les invités de vous dans une certaine mesure, selon les capacités du routeur.

Si vous ne voulez pas donner aux invités un accès permanent, vous pouvez changer le mot de passe de temps en temps.

Si vous voulez aller plus loin, vous pouvez vous tourner vers WPA2/WPA3 Enterprise. Cela permet un meilleur contrôle d'accès. Cependant, vous n'avez probablement pas envie de le faire sur votre réseau Wi-Fi domestique, car il est trop complexe à configurer et vous aurez peut-être besoin d'un meilleur routeur Wi-Fi (et plus cher) pour cela.

Pour savoir pourquoi le code QR ne cache pas le mot de passe, voir le post de @acejavelin.

3voto

Don King Points 131

J'ai un deuxième routeur, juste un petit routeur bon marché, connecté par câble au routeur principal. Ils ont des réseaux wifi différents et des mots de passe différents. Je ne donne à mes amis que le mot de passe du second routeur.

Je peux le changer facilement à tout moment. Ou le déconnecter.

Je trouve que c'est une solution facile et efficace.

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X