Bakdøren du ikke visste at ruteren din hadde: Slå av WPS i kveld

Funksjonen heter WPS, og den står påslått som standard på de fleste rutere som er solgt det siste tiåret. Den ble laget for å gjøre det enkelt å koble nye enheter til Wi-Fi-nettverket uten å taste et langt passord. Problemet er at den samme snarveien fungerer for hvem som helst innenfor signalrekkevidde.

Sårbarheten har vært kjent siden 2011, og likevel ruller utstyret ut av butikkene med funksjonen aktivert. For en angriper med en bærbar PC og litt tålmodighet betyr det at det 63-tegns Wi-Fi-passordet du valgte med omhu, ikke nødvendigvis er det som beskytter nettverket ditt.

Designfeilen som halverer arbeidet

WPS bruker en åtte-sifret pinkode for å autentisere nye enheter. I teorien gir det 100 millioner mulige kombinasjoner. I praksis er det langt færre.

Det siste sifferet er en kontrollsum, og protokollen avslører om de første fire sifrene er riktige før de siste sjekkes. Det betyr at en angriper kan brute-force hver halvdel for seg. Maks 11 000 forsøk er nok til å gjenopprette pinkoden, ifølge den opprinnelige forskningen som offentliggjorde svakheten.

Et komplett angrep kan ifølge samme dokumentasjon fullføres på under fire timer. På sårbare brikkesett fra produsenter som Ralink, MediaTek og Broadcom finnes en variant kalt Pixie Dust, hvor pinkoden kan hentes ut på noen få minutter fordi tilfeldighetsgeneratoren i ruteren er for svak.

CERT advarte for over ti år siden

Det amerikanske CERT-koordineringssenteret publiserte en formell sårbarhetsadvarsel allerede i desember 2011. Sårbarheten har nummer VU#723755 og rammer i praksis alle rutere med standard WPS-implementasjon.

Senteret konstaterte at en angriper innenfor rekkevidde av aksesspunktet kan brute-force WPS-pinkoden, og at mange rutere ikke har noen mekanisme som låser kontoen etter et visst antall mislykkede forsøk. Anbefalingen var entydig: deaktiver ekstern registrar-funksjonen i WPS gjennom ruterens administrasjonsmeny.

Den anbefalingen står fortsatt. Nesten 15 år senere har bransjen ikke kommet med en reell teknisk løsning på protokollnivå. Den enkleste fiksen er å slå funksjonen av.

Hvorfor risikoen er reell i 2026

Rutere har lang levetid i norske hjem. FBI advarte i en bulletin datert 17. mars 2026 om at eldre rutere er aktivt mål for kriminelle, og listet opp 13 Linksys-modeller som er kjent kompromittert i en pågående botnett-operasjon. Selve angrepet i den saken handler om fjernadministrasjon, ikke WPS, men poenget er det samme: gamle funksjoner som ingen lenger har bruk for, lever videre i hjemmenettverket og åpner dører.

WPS er fortsatt aktivert fra fabrikk på de fleste nye modeller. Wikipedias gjennomgang av standarden slår fast at funksjonen finnes på de fleste nye rutere, og typisk er slått på som standard. Det gjelder også de fleste hjemmesentraler som norske leverandører som Telenor, Altibox og Telia distribuerer til kundene sine.

De færreste husker noen gang at de har trykket på en WPS-knapp. Moderne mobiler, smart-TV-er og spillkonsoller kobler seg på Wi-Fi ved at brukeren taster passordet eller skanner en QR-kode. WPS er rett og slett en levning fra 2007 som ikke lenger har en jobb.

Slik slår du WPS av

Fremgangsmåten er stort sett den samme uansett ruter:

1. Åpne nettleseren og gå til ruterens admin-side. Adressen er som regel 192.168.1.1, 192.168.0.1 eller 192.168.10.1, og står ofte på et klistremerke på undersiden av ruteren.

2. Logg inn med brukernavn og passord. Hvis du aldri har endret det, står standardverdiene på samme klistremerke.

3. Finn menyen for trådløst nettverk, ofte kalt "Wireless" eller "WiFi".

4. Let etter et menypunkt som heter "WPS", "Wi-Fi Protected Setup" eller "PBC".

5. Sett funksjonen til "Disabled" eller "Av", og lagre.

Hele øvelsen tar mindre tid enn å koke en kopp te. Når du først er inne i admin-panelet, er det også verdt å sjekke at standardpassordet til selve admin-panelet er byttet ut med et som ikke står på et klistremerke som hvem som helst kan lese.