In alternativa se hai ONT esterno, puoi acquistare un tuo router business di fascia alta che abbia le impostazioni di filtro MAC address, così che consenti la connessione, sia via cavo che via wifi, solo ai MAC address dei tuoi dispositivi, che quindi conosci e sai quali sono. Con questo filtro attivo nessun dispositivo che non abbia preventivamente abilitato il MAC address nell'elenco specifico, non può in alcun modo connettersi o utilizzare connessione internet, perché non viene riconosciuto e quindi viene escluso. È la situazione più sicura dato che blocca proprio a Layer2 i dispositivi non riconosciuti, solo se ti rubassero un tuo dispositivo che è stato abilitato e ne copiassero il MAC address potrebbero con MAC spoofing accedere alla tua connessione. Se temi anche questa situazione, in cui qualcuno ha accesso ai tuoi dispositivi e può replicarne i dati propri quali appunto il MAC address, allora devi implementare un captive portal (sempre router di fascia business hanno questa funzione) che ogni volta che vuoi accedere ad internet ti richiede delle credenziali di accesso e ti abilita la sessione per un tempo specificato, in questo modo anche se ti rubassero il cellulare e replicassero il suo MAC address, senza le credenziali (che possono anche funziona due 2FA ancora meglio) non potrebbero comunque utilizzare la tua connessione.
Questi ad oggi sono tra i metodi più sicuri a livello di sicurezza connessione internet e accesso alle reti. Il passaggio successivo ancora è implementare server RADIUS e 802.1x ma questo porterebbe problemi a dispositivi che non supportino tale standard, e generalmente smartphone e imili non lo supportano
