sniffear la MAC, por las buenas, cosa que no es tan sencilla para alguien que no tenga conocimientos bastante mas que basicos, para dejar desconectado un aparato de dentro de la casa, sin poder acceder fisicamente a el?
las peliculas en el cine, chicos

estoy de acuerdo en que poner una clave WPA2 es lo mas rapido y directo (lo unico es que hay aparatos viejos que no autentifican con eso, pero pongamos que eso no sea problema) y por supuesto desconectar WPS, y ponerle tambien una buena clave al router que eso hay gente que se lo deja atras.
pero vamos, si ademas de todo eso pones una lista de MACs autorizadas y "alguien" se salta tooodo eso para conectarse (averiguando la clave wifi para conectarse al router, averiguando su clave para entrar en la configuracion, ver las MAC autorizadas y spoofear la de su maquina por una de esas)... es que ese alguien es de SHIELD, por lo menos

ni el 1/1000 de los posibles piratas de wifi tienen conocimientos y herramientas para eso. y los que si lo tienen...
1.- les va a dar igual la clave y encriptacion que pongas, o la lista de MACs que pongas, o el router que tengas.
2.- muy probablemente van a elegir pinchar otra, porque el 99% que podra localizar estaran mas accesibles y tardara menos en hacerlo.
asi que eso... basicamente con un par de buenas claves en el wifi y en el router es mas que suficiente, y para un nivel adicional, la lista de macs. y con eso ya va a ser muy muy muy dificil que le entre alguien, y menos el tipico casual con una distro de piratear wifis o similar.