Ratgeber/WLAN-Passwort sicher: WPA3 richtig einsetzen (2026)
WLAN-Passwort sicher: WPA3 richtig einsetzen (2026)

WLAN-Passwort sicher: WPA3 richtig einsetzen (2026)

·0 Aufrufe

Dieser Artikel kann Affiliate-Links enthalten. Wenn du über diese Links einkaufst, erhalten wir möglicherweise eine kleine Provision — ohne Mehrkosten für dich. Das hilft uns, weiterhin kostenlose Inhalte zu erstellen.

wlansicherheitguide

Das WLAN-Passwort allein macht ein Netzwerk nicht sicher. Entscheidend ist das Verschlüsselungs-Protokoll dahinter. WPA2, seit 2004 Standard, ist seit dem KRACK-Angriff von 2017 nachweislich angreifbar — ein passiv mitschneidender Angreifer kann Pakete entschlüsseln. WPA3 schließt diese Lücke, ist seit 2018 ratifiziert und seit 2020 in jedem aktuellen Router verfügbar.

Trotzdem laufen 2026 noch geschätzt 60% der deutschen Heim-WLANs auf WPA2. Grund: Werkseinstellungen vieler Provider-Router, Sorge vor IoT-Inkompatibilität, oder schlicht nie bewusst umgestellt. Dieser Artikel zeigt, wie du WPA3 richtig aktivierst — ohne dass Saugroboter und alte Notebooks ausgeschlossen werden.

WPA2 vs WPA3: Was sich technisch ändert

WPA2 nutzt PSK (Pre-Shared Key) mit 4-Way-Handshake. Der Handshake enthält genug Information, dass ein Angreifer das WLAN-Passwort offline per Brute-Force erraten kann — vor allem bei schwachen Passwörtern. KRACK (Key Reinstallation Attack) erweitert das Problem, indem der Angreifer den Handshake forciert wiederholen lässt und damit den Schlüssel kompromittiert.

Wlan passwort sicher wpa3 richtig: practical guide overview
Wlan passwort sicher wpa3 richtig

WPA3 ersetzt PSK durch SAE (Simultaneous Authentication of Equals), basierend auf einem Diffie-Hellman-Schlüsselaustausch. Das wichtige Detail: Selbst wenn ein Angreifer den Handshake komplett mitschneidet, kann er das Passwort nicht offline brute-forcen. Jeder Versuch braucht eine neue Live-Sitzung mit dem AP — und der kann begrenzen.

💡 Gut zu wissen: WPA3-SAE schützt auch bei einem schwachen Passwort wie "sommer2025" deutlich besser als WPA2 — weil Brute-Force online passieren muss, nicht offline. Trotzdem: 14+ Zeichen mit Mix aus Buchstaben/Zahlen/Sonderzeichen bleibt Standard.

Transitional Mode: WPA2/WPA3 parallel

💡 Werkzeug-Empfehlung

FRITZ!Box 7590 AX
Bei Amazon ansehen →

Das Problem in der Praxis: Viele IoT-Geräte (ESP8266-basierte Steckdosen, ältere Saugroboter, alte Kindle-Modelle) können kein WPA3. Wenn du im Router "WPA3 only" aktivierst, fallen diese Geräte raus.

Die Lösung heißt WPA2/WPA3-Transitional (auch "Mixed Mode" oder "WPA3-Transition"). Der AP strahlt beide Verschlüsselungen parallel aus. Neue Clients verbinden sich automatisch mit WPA3-SAE, ältere fallen auf WPA2-PSK zurück. Beide nutzen dasselbe Passwort.

Sicherheitseinbuße: Ein Angreifer, der ein Gerät kennt, das WPA2 spricht, kann mit dessen Mitschnitt die WPA2-Attacke fahren. Aber: Solange das Passwort lang genug ist, bleibt Brute-Force unrealistisch. Transitional Mode ist 2026 für die meisten Haushalte der richtige Kompromiss.

FRITZ!Box: WPA3 aktivieren

FRITZ!OS unterstützt WPA3 ab Version 7.20, ab 7.50 auch vollständig im Mesh. Pfad: WLAN → Sicherheit → WPA-Verschlüsselung. Optionen:

  • WPA2 (CCMP) — alter Standard, nicht mehr empfohlen
  • WPA2 + WPA3 — Transitional Mode, empfohlen für gemischte Geräte
  • WPA3 — nur neue Geräte, höchste Sicherheit
Wlan passwort sicher wpa3 richtig: step-by-step visual example
Wlan passwort sicher wpa3 richtig

Zusätzlich PMF (Protected Management Frames) auf "Erforderlich" oder "Empfohlen" setzen. PMF schützt vor Deauth-Angriffen, bei denen ein Angreifer Clients vom AP trennt. WPA3 erzwingt PMF automatisch — bei Transitional Mode auf "Empfohlen" lassen, damit alte Clients nicht aussperren.

ASUS AiMesh und UniFi

ASUS-Router ab AX-Serie (AX55, AX86U, GT-AX11000) haben WPA3 im Wireless-Setup: Wireless → General → Authentication Method → WPA2/WPA3-Personal. PMF unter "Protected Management Frames" auf "Capable" für Mixed-Mode oder "Required" für WPA3-only.

UniFi-Controller: Pro-SSID die "Security Protocol" auf "WPA2/WPA3" stellen. UniFi hat zusätzlich eine Option "Enhanced Open" — das ist OWE (Opportunistic Wireless Encryption), die WPA3-Variante für offene Netze ohne Passwort, z. B. für Gäste-WLAN ohne Captive Portal.

RouterWPA3-Support seitPMF-Einstellung
FRITZ!Box 7530/7590FRITZ!OS 7.20Automatisch
ASUS RT-AX86UFW 3.0.0.4 (2020)Capable / Required
UniFi Dream MachineUniFi OS 1.10Optional / Required
TP-Link Deco BE85ab WerkAutomatisch
Speedport Pro PlusFW 010135 (2022)Automatisch

Passwort: Was wirklich zählt

Ein gutes WPA3-Passwort hat mindestens 14 Zeichen, nutzt mehrere Zeichenklassen und ist kein Wort aus einem Wörterbuch — auch keine Kombination wie "Sommer2025!". Empfehlung BSI 2026: 16+ Zeichen, eine Mischung aus Buchstaben, Zahlen und Sonderzeichen, oder eine 5-Wort-Passphrase nach Diceware-Methode ("birne-anker-segel-mondlicht-eisbar").

Wlan passwort sicher wpa3 richtig: helpful reference illustration
Wlan passwort sicher wpa3 richtig

WPA3-SAE macht Brute-Force online unrealistisch, aber ein 8-Zeichen-Passwort wie "katze123" bleibt trotzdem schwach: Wer physisch in WLAN-Reichweite kommt, kann es in Stunden raten. Lang ist wichtiger als kompliziert.

⚠️ Häufiger Fehler: WLAN-Passwort an Gäste per WhatsApp/SMS schicken. Diese Nachrichten landen oft in Cloud-Backups (Google, Apple) und sind dort jahrelang abrufbar. Besser: getrenntes Gäste-WLAN mit eigenem Passwort, oder QR-Code-Sharing direkt aus dem Router (FRITZ!OS kann das).

Was du nach der Umstellung prüfen solltest

Nach dem Umschalten auf WPA2/WPA3-Transitional einmal alle Geräte durchchecken: Smartphones, Notebooks, Smart-TVs, Saugroboter, smarte Lampen, Heizungs-Thermostate, Türklingel, Babyphone. Geräte, die nicht mehr verbinden, brauchen meist ein Firmware-Update oder müssen ins separate IoT-Netz (siehe dazu Artikel zum eigenen IoT-WLAN).

Im Router-Dashboard die Client-Liste prüfen: Modern angezeigt wird, ob ein Client per WPA2 oder WPA3 verbunden ist. FRITZ!OS zeigt das unter WLAN → Funknetz → Bekannte WLAN-Geräte. ASUS und UniFi haben ähnliche Übersichten in der Web-Oberfläche.

Wenn nach der Umstellung das WLAN langsamer wirkt oder Verbindungen abreißen, lohnt ein systematischer Check. Der WLAN-Speedcheck-Diagnose testet Durchsatz, Latenz und Paketverlust pro Client und zeigt, ob das Problem an WPA3, am Kanal oder an einem klemmenden Mesh-Knoten liegt.

✅ Praktischer Tipp: WPA3-SAE-Hash-to-Element (H2E) ist seit 2022 die robustere Variante des SAE-Handshakes. Wenn dein Router die Option anbietet (FRITZ!OS 7.57+, UniFi 6.5+), unbedingt aktivieren — schließt einen Timing-Side-Channel der ursprünglichen SAE-Implementierung.

WPA3-Enterprise: Wann es im Heimnetz Sinn macht

Neben WPA3-Personal (mit Passwort) gibt es WPA3-Enterprise — Authentifizierung über RADIUS-Server statt gemeinsamem Passwort. Im klassischen Heimnetz Overkill, aber sobald du 5+ Familienmitglieder oder regelmäßig Mitbewohner und Gäste hast, lohnt sich der Blick darauf. Jeder Nutzer bekommt eigene Zugangsdaten (Username + Passwort oder Zertifikat), die du individuell sperren kannst — ohne dass alle anderen Geräte ein neues WLAN-Passwort lernen müssen.

Praktische Umsetzung im Heimnetz: FreeRADIUS auf einem Raspberry Pi oder direkt im UniFi-Controller. ASUS-Router unterstützen WPA3-Enterprise nativ, FRITZ!Box bis FRITZ!OS 7.80 noch nicht. Aufwand für die Einrichtung: 2-4 Stunden einmalig, danach läuft es. Vorteil: Wenn das Smartphone des Ex-Mitbewohners weg muss, deaktivierst du nur seinen Account — alle anderen Geräte bleiben verbunden.

Häufige Verbindungsprobleme nach WPA3-Umstellung

Symptom 1: Saugroboter findet das WLAN nicht mehr. Ursache: Pairing-Modus sendet nur 2,4 GHz und akzeptiert kein WPA3. Lösung: Temporär eine reine WPA2-SSID auf 2,4 GHz aufsetzen, koppeln, danach das Gerät übernimmt das gespeicherte Passwort und bleibt verbunden, auch wenn du wieder auf Transitional umstellst.

Symptom 2: Windows-Notebook verbindet sich nicht. Ursache: Älterer Intel-WLAN-Treiber (vor 2021) hat WPA3-Probleme. Lösung: Treiber-Update über das Intel Driver & Support Assistant Tool. Wer noch einen Realtek- oder Atheros-Chip aus 2018 hat, kommt um einen neuen USB-WLAN-Stick (z. B. TP-Link Archer T9UH) nicht herum.

Symptom 3: Smart-TV verbindet zwar, aber langsam. Ursache: Manche LG- und Samsung-TVs (Modelljahr 2019/2020) handeln WPA3 zwar aus, fallen aber unter Last auf einen langsameren Cipher zurück. Lösung: Den TV gezielt in den WPA2-only-Bereich legen (z. B. ins IoT-WLAN, das mit WPA2 läuft).

⚠️ Häufiger Fehler: WPA3-Passwort identisch mit dem vom Online-Banking oder E-Mail-Konto. WLAN-Passwörter werden in zahlreichen Geräten im Klartext gespeichert (alte Android-Backups, Tablet-Profile, ungenutzte Smart-TVs) — ein einzelnes kompromittiertes Gerät reicht. WLAN-Passwort immer eigenständig, nirgendwo anders verwendet.

Passwort-Rotation und sichere Übergabe

Im Heimnetz wird das WLAN-Passwort selten geändert — meistens nur, wenn ein Gast es nicht mehr haben soll oder ein Gerät verloren ging. Das ist okay, solange das Passwort lang genug ist und der Router-Login selbst sicher ist. Wer trotzdem rotieren will, sollte parallel zum WPA3-Hauptnetz ein zweites WLAN für Gäste betreiben, dessen Passwort man jederzeit risikolos ändern kann. FRITZ!Box, ASUS und UniFi unterstützen das alle nativ.

Für die Passwort-Übergabe an Familie und Besucher bietet FRITZ!OS unter "WLAN → Funknetz → WLAN-QR-Code anzeigen" die saubere Lösung: ein gescannter Code verbindet jedes moderne Smartphone ohne Tippen. Bei iOS reicht das Teilen der WLAN-Daten über die Apple-AirDrop-Funktion, sobald ein anderes iPhone das Passwort anfordert. Beides ist sicherer als das Passwort per WhatsApp oder per E-Mail zu schicken.

Veröffentlicht durch die SmartHomePraxis-Redaktion. Veröffentlicht am 14. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@smarthomepraxis.de

Artikel teilen
🏠

Smart-Home-Tipps direkt ins Postfach

Neue Anleitungen, Vergleiche und Praxis-Tipps – kein Spam, jederzeit abbestellbar.

🎁 Gratis dazu: Smart-Home-Starter-Guide (PDF)

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.