Com WPA2-aes também dá.
A técnica é a mesma, o cowpatty escaneia o que tem na rede, você escolhe um SSID e manda comando pra derrubar a conexão (Desautenticar), então o AP e cliente fazem automaticamente o processo de autenticação denovo, mas dessa vez o cowpatty está logando tudo o que passa pela rede, com mac e origem e destino, ele obtem o master key encriptado (Afinal ele tem que se enviado do cliente pro AP)

Esses dados logados não tem utilidade, são encriptados. Aí entra a força bruta, fazer brute-force em cima de um roteador não dá, o roteador responde lentamente e aceita só X tentativas por minuto. Mas quando você tem a chave encriptada é só você ir testando senhas com varias por minuto (Milhares por minuto) até que uma delas resulte na mesma chave encriptada. Senha maior realmente torna isso mais lento (A verificação é com todas as chaves possíveis, de AAAA até ZZZZZZZZZZZZZZZZZ, passando por todos os caracteres aceitos (Maiúsculas, minúsculas, alguns caracteres especiais, e numerais). Uma senha de 8 letras minúsculas vai demorar menos porque até onde notei esses software (aircrack.ng, e o que tem no Kali linux) tentam primeiro letras minúsculas e depois partem pras "misturas".

Vejam que o sucesso dessa técnica é não ficar tentando ataque ao roteador, mas sim verificando na propria ram uma chave encriptada, é um master key de 64 bytes (0 a F cada), o sistema faz o calculo de cada senha e verifica se o masterkey é igual ao masterkey capturado pelo monitoramento.

O problema são os malditos modos auto, feitos pra noobs, o modo auto pra noob em materia de segurança é aquele "wpa/wpa2 auto" (Ou mixed?), onde existem multiplas conexões você kicka varias conexões e torce pra que ao menos 1 seja wpa, ele vai encurtar pra poucas horas num desktop comum a descoberta de qual senha gera aquela master key encriptada.

Bloquear mac ajuda? Ajuda pouco, sempre dá pra clonar, na primeira tela desses softwares você tem ssid e mac usados.

Então... acho que o jeito é dificultar e não eliminar as inseguranças. Usando wpa2 aes longo (Faz a verificação demorar mais, talvez o invasor desista), confirmar se o usuario não tem alguma noobice instalada rodando, tipo Teamviewer, e usar antena de acordo com o ambiente, nada de meter omni se o roteador fica na borda da casa! Isso é bobeira, omni se coloca no meio, nas laterais se usa antena setorial, e tem que usar potencia baixa pra que nenhum vizinho "alcance". Pra otimizar o alcance tem que usar datarate baixo (Qual o motivo pra usar datarate de 65M se o usuario só acessa internet numa conexão de 1Mbps?), aí dá pra reduzir a potencia e ter sinal baixo (Mas estável) dentro de casa, de modo que fora (Nos vizinhos) não tenha sinal suficiente (Talvez suficiente pra capturar dados e conseguir a senha eventualmente, mas insuficiente pra ter conexão estável pra "incentivar" que algum vizinho tente descobrir a senha.

Software pra noobs geralmente só captura isso e descobre senhas WEP e WPA pequenas, e não são gratuítos, por mais que seja possível não é pra qualquer zé-oreia.
WPS facilita a vida desses softwares, usar wpa2 aes mas deixar wps ativo não ajuda.


Senha com CPF é facil resolver, é só o cliente falar um "Dá aqui que eu digito a senha". Bloquear pra acesso somente aos aparelhos que o usuario tem HOJE não sei se é uma boa, sempre tem visitante e algumas pessoas trocam de equipto toda hora, sou mais fã de colocar no dhcp server só 3 ou 4 IP's, isso já atrapalha os mais leigos.

Fiz a bobeira de colocar meu nome no SSID em casa (Sempre preferi nomear as coisas com codinomes, de sistemas operacionais usados, de algum item do hardware), 15dBm numa omni 9dBi pra pegar na casa toda, e logo surgiram os pedintes de senha de wifi, foram uns 4 (Que nunca ví na vida, ou que eram vizinhos que nunca troquei uma palavra). Um vizinho encheu o saco que era só pro fim de semana então passei a senha mas hoje deixo aquele SSID rodando, quem tem a senha tem e pronto, mas não tem internet nele, só pra sacanear os pedintes malditos! :-) Minha conexão sai de uma CPE com "Elsys" no SSID, se alguém perguntar onde mora a dona Elsys toda a vizinhança vai garantir que não tem ninguém com esse nome por perto! :-)
(E a antena direcional da CPE aponta pra frente, na lateral não tem sinal, vai do fundo pra frente pra uma vizinha que mal sabe o que é um computador, que dirá saber o que é wifi. Antena direcional rules!!!)