Man kann das Passwort und den WLAN-Schlüssel ändern, muß aber nicht. Und es gibt sicherheitsbewußte User die machen das und die finden auch ihre Notizen mit den geänderten Daten wieder.

Ich weiß von Fällen wo Besucher, Handwerker usw. mit dem Smartphone schnell mal die Rück- bzw. die Unterseite des Routers fotografiert haben und anschließend das WLAN mißbraucht haben, alles schon dagewesen.

Wie gesagt, jeder kann das handhaben wie er will.

Es gab z.B. in der Vergangenheit schonmal Probleme, dass die WLAN Schlüssel bei einigen Routern (weiß gerade nicht, ob damals auch Telekom Router betroffen waren) aus der MAC Adresse errechnen ließen.

Punkt ist, dass es möglicherweise ähnliche Lücken geben könnte und deshalb eigene Passwörter (sofern nicht unsicher augrund von Einfachheit) immer sicherer sind.

Eine aktute Gefahr besteht dahindgehend bei aktuellen Geräten derzeit nicht!

Das Gerätepasswort würde ich nicht so eng sehen, denn wenn ein Angreifer bereits im LAN ist kann er deutlich schlimmeres anrichten kann, als auf den Router zuzugreifen.

Dass Router wegen Daten gestohlen werden habe ich nochnicht gehört; wenn dann versucht der Dieb das Ding eher zu verkaufen, denn wirklich interessante Daten sind da nicht drauf.

absolute-beginner

Ich gehe davon aus, dass die Speedport Werkseinstellungen nur für genau diesen einzelnen Router gelten, für den der Gerätepass gilt, auf dem diese Angaben stehen.
Dann wären doch diese Passwörter Unikate und ebenso schwer zu erraten wie individuell von mir ausgedachte?

Soviel zur Theorie. Aber wer weiß schon wie diese Passwörter generiert wurden? Evtl. sogar mit einem relativ einfach nachvollziehbaren Algorithmus aus der (als BSSID für jedermann auslesbaren) MAC-Adresse? Das gab es zumindest schon (nicht nur bei einigen Speedports)!

Ich gehe zwar nicht davon aus, dass das auch für die aktuellen Geräte-Generationen gilt aber wie genau diese Credentials bei der Produktion erstellt werden wissen wir dennoch nicht. Wenn dann z.B. heute, morgen oder übermorgen die Methode für ein bestimmtes Modell oder Modell-Serie offengelegt wird beginnt dann das hektische abändern der Standardwerte, vorausgesetzt man bekommt das überhaupt mit.

Also abändern müssen tut man die Standardwerte nicht, das liegt immer noch im Ermessensspielraum des Nutzers.

Aber sind wir doch mal ehrlich, allein schon die Standard- SSID will man doch nicht wirklich nutzen, da kann man sich doch schon eine leichter erkennbare erstellen und da bietet sich dann auch gleich ein eigenes Passwort an. Diese eigene WLAN- SSID und das dazugehörige (eigene) Passwort könnte man dann z.B. auch übernehmen wenn man mal den WLAN-Router tauscht (wenn man davon ausgehen kann, dass diese Daten nicht kompromittiert sind) und muss so nicht die WLAN-Konfiguration auf all seinen Endgeräten ändern...

Wenn ich ein individuelles Gerätepasswort vergebe, riskiere ich doch nur, dass ich dabei etwas falsch mache, oder die Notiz verschlampe, und mich somit selbst vom Routerzugang ausschließe (was zum Reset zwingen würde, mit anschließender Neukonfiguration des Speedport).

Das einige Leute mit einer ordentlichen Dokumentation Probleme haben kann ich selbst zwar einerseits nicht nachvollziehen habe das aber andererseits auch schon sehr oft erleben müssen. Das betrifft aber auch die Zugangsdaten des Anschlusses, auch die sollte man gut und sicher aufbewahren.

Meine Kunden bekommen z.B. einen von mir erstellen "Router- bzw. Netzwerk-Pass" wo alle wichtigen (und individuellen) Daten enthalten sind. Sie werden darauf aufmerksam gemacht, dass dieses Dokument wichtig ist und sicher verwahrt werden sollte. Ob sie diese Daten dann (z.B. aus Sicherheitsgründen) noch einmal selbst individualisieren oder auch nicht ist ihnen überlassen und wenn sie das Dokument verlegen ist es auch ihr Problem.

Und falls ich individuell vergebene Passwörter auf dem Router-Pass notiere und den im Speedport aufbewahre, ist der Speedport im Falle eines Diebstahls ebenso zugänglich wie mit den Werkseinstellungen.

Diebstahl ist ein ganz anderes Thema. Wenn ein Gerät gestohlen wird sind alle darauf gespeicherten Credentials, egal ob es sich dabei um Standard-Werte oder selbst erstellte handelt, prinzipiell als kompromittiert zu betrachten und müssen geändert bzw. dürfen nicht mehr verwendet werden (völlig unabhängig davon ob diese noch separat auf einem "Router-Pass" standen oder nicht).

Auch wenn die meisten "DAUs" aus dem Webinterface des Gerätes nur "Punkte" auslesen können, die Zugangsdaten sind nicht selten entschlüsselbar im Flashspeicher des Gerätes abgespeichert. Es gibt offensichtlich Leute die glauben das nicht, zumindest werden manchmal (z.B. bei *Bay) gebrauchte Router verkauft die nicht auf Werkseinstellungen zurückgesetzt wurden, so etwas ist einfach nur fahrlässig...

Ein gutes bzw. gut dokumentiertes Beispiel sind dazu auch die aktuellen FRITZ!Boxen, auch bei den neuen mit aktuellen FRITZ! OS -Versionen (die -c Option von allcfgconv wurde ja schon vor einiger Zeit entfernt aber das macht nichts) kann man die darauf verschlüsselt gespeicherten Zugangsdaten komplett entschlüsseln, auch wenn man die Zugangsdaten des Router nicht kennt. Einzige Voraussetzung ist der physikalische Zugriff auf das Gerät (geöffnet werden muss es aber nicht). Aber z.B. auch bei einem Zyxel Speedlink 5501/6501kann man die darauf gespeicherten Zugangsdaten (auch die welche im normalen Webinterface hinter Punkten versteckt sind) ohne Probleme auslesen. Das sind aber wie gesagt nur zwei Beispiele weil ich es bei den genannten Geräten von den beiden Herstellern schon selbst gemacht habe.

Auch wenn die Daten auf dem Gerät selbst verschlüsselt gespeichert sind, das Gerät muss selbst in der Lage sein diese zu entschlüsseln um sie verwenden zu können.

asdundab.t

Das Gerätepasswort würde ich nicht so eng sehen, denn wenn ein Angreifer bereits im LAN ist kann er deutlich schlimmeres anrichten kann, als auf den Router zuzugreifen.

Eigentlich sollte man aufgrund der Vielzahl an Geräten die heute oft in Netzwerken vorzufinden sind prinzipiell davon ausgehen, dass genau das jederzeit auftreten kann (bzw. sogar schon der Fall ist), z.B. ein per Blueborn oder Stagefright gehacktes Smartphone/Tablet, ein Smart-TV oder ein sonstiges IoT-Gerät, viele von denen erhalten kaum (Sicherheits)-Updates bzw. ist die Sicherheit bereits bei Auslieferung tw. eher spärlich. Ein einziger "Zombie" im Netzwerk reicht schon aus und schon ist da jemand evtl. "im LAN".

Das Problem hat beispielsweise AVM wohl erkannt und vermutlich deshalb ist bei den ganz neuen Modellen auf Basis der GRX5-Plattform (7560, 7580 und 7590) EVA offensichtlich nicht mehr nach einem Softreboot erreichbar sondern nur noch nach einem "Hardreboot" (also Stecker des Netzteil ziehen, physikalicher Zugang ist also erforderlich).

Dass Router wegen Daten gestohlen werden habe ich nochnicht gehört; wenn dann versucht der Dieb das Ding eher zu verkaufen, denn wirklich interessante Daten sind da nicht drauf.

Gehört habe ich davon zwar auch noch nicht aber sobald er gestohlen wurde weiß man nicht mehr was damit geschieht oder in wessen Hände er gerät (auch wenn es erst der Käufer der (Hehler)-Ware ist der das Gerät mal genauer untersucht) und das darauf nur "uninteressante" Daten gespeichert sind kann man so pauschal nicht feststellen. Daher sind in einem solchen Fall alle darauf gespeicherten Daten als kompromittiert zu betrachten (je nach Router-Modell, genutzte(r) Anbieter und Konfiguration können jede Menge persönliche und vor allem wichtige Zugangsdaten gespeichert sein, z.B. die des E-Mail Account, des Cloudspeicher, der VoIP-Accounts, die DSL-Zugangsdaten, WLAN usw. usf.).