Amigo posso te garantir que com ip/mac/login/senha é muito facil inavadir, faz um teste.
Versão Imprimível
Pelo o que eu tb li pode ser snifados sim mas na pratica desconheço!
O Sérgio já postou uma apresentação do Maia sobre segurança.
Procurei agora mas não achei.
Desde que o Sérgio colocou isso num tópico, minha cabeça abriu para com este assunto.
Só existe segurança (e assim mesmo relativa) com boa criptografia.
E fiquei adepto do WPA2
Trabalho com hotspot, portanto só sei falar dele.
Se alguem tiver o ip e mac de algum cliente seu e acessar depois que este cliente estiver logado, seu AP reconhece o clone como o seu cliente (como se fosse a mesma maquina) e ele consegue navegar numa boa. Tenho tido esse problema aqui.
A solução que estou vendo (ainda não implementei) é utilizar criptografia mesmo, de preferencia com uma chave pra cada cliente, o mikrotik pode pegar essa chave em um servidor radius. Isso foi falado no MUM na palestra sobre o ISP-Safe. Dai, para acesso clandestino, o cara vai ter que conhecer o IP, mac e chave de criptografia do cliente... já dificulta muito o trabalho do cara, e se ele conseguir essa chave, basta trocar a chave no servidor radius e no ap do cliente clonado que o problema esta resolvido.
Espero ter ajudado.
Samyr