Het verbergen van je SSID lost weinig op

Een beveiligingstip die al sinds de begintijd van het web circuleert is dat je je SSID (Service Set Identifier, of liever de naam van je draadloze netwerk) verbergt door SSID Broadcast uit te schakelen in de router. Het idee is dat je netwerknaam niet bekend is en dat daarom onbekenden geen verbindingspoging kunnen maken. Dat basisidee is juist, maar er is een addertje en het kan zelfs meer kwaad doen dan goed.

Bij deze instellingen verwijder je het SSID uit de beacons die een router stuurt om een wifi-apparaat in de buurt, bijvoorbeeld een smartphone of laptop, te laten weten dat het netwerk er is. Deze beacons worden ingevoerd in de lijst van het wifi-apparaat. Als het SSID niet wordt meegeleverd, identificeren een aantal apparaten, waaronder Windows-laptops, het netwerk nog steeds maar dan als 'Verborgen netwerk'. Andere apparaten laten mogelijk niets zien of geven een netwerk zonder naam weer.

Zelfs met het uitschakelen van de SSID Broadcast, wordt het toch nog verzonden in bepaald wifi-verkeer, dat onderschept kan worden door aanvallers. Zo wordt het bijvoorbeeld gebruikt in een stap van het autneticatieproces als een apparaat verbinding maakt met het netwerk. Hoewel de meeste apparaten meestal niet zomaar de SSID uit dit verkeer halen, wordt het wel opgevangen in diverse wifihulpmiddelen als Kismet, CommView for WiFi en Airmagnet.

Om die reden is het dus een heel slecht idee om de Broadcast uit te schakelen in plaats van versleuteling te gebruiken. Het uitschakelen van deze feature na het instellen van WPA2 houdt de meeste gelegenheidshackers van je netwerk, maar heeft een negatieve impact op een netwerk dat veel wordt gebruikt, vanwege de grotere hoeveelheid netwerkverkeer die op de achtergrond wordt verwerkt.