Zaščita routerja v treh korakih?

Pozdrav,
imam teoretično vprašanje glede zaščite brezžičnega omrežja.
Recimo, da so osnovni koraki za zaščito omrežja povprečnega družinskega uporabnika trije:
1) sprememba gesla za dostop do routerja (torej sprememba uporabniškega imena in gesla za dostop do strani 192.168....., ki sta po defoltu npr. admin in admin)
2) sprememba imena omrežja oz. SSID (torej namesto tovarniškega imena "linksys", "tp-link" ipd. nastaviš drugo ime - "Matej", "Domace" ali karkoli)
3) dobro geslo WPA/WPA2 s +20 znaki

Ali to drži?
Če ja, potem je nekako logično, da je tretja točka najvažnejša.
Zanima pa me pomembnost prve točke. Sprememba up. imena in gesla naj bi služila temu, da ne more kar vsak dostopati do tvojih nastavitev routerja preko naslova 192.168..... (pač s standardnim up. imenom in geslom; admin/admin).
Ampak ali ni tako, da če nekdo hoče dostopati do interneta preko tvojega omrežja, tako ali tako najprej potrebuje tvoje geslo oz. kljuc (WPA/WPA2), da se sploh lahko poveže na internet (in šele potem potencialno dostopa do spletne strani 192.168.... idr.).
Zanima me, kako imate kaj to urejeno. Pri meni je bilo omrežje dolgo časa zavarovano "samo" z geslom WPA/WPA2, potem pa sem se vseeno odločil še za spremembo gesla za dostop do routerja. Pa se vprašam o smotrnosti le-tega...

Drugo vprašanje pa bi bilo, ali so omenjene tri točke za zavarovanje omrežja v osnovi res dovolj.
Kaj pa še npr. filtriranje MAC naslovov, Firewall ipd.

Hvala.

1. točka: zelo pomembno
2. točka: dekoracija, načeloma za večjo varnost onemogočiš SSID broadcast
3. točka: zelo pomembno, po možnosti nastaviš WPA2 in AES šifriranje(brez TKIP)

če ima tvoj WPA2 key, lahko dostopa do interneta preko tvojega omrežja, ne more pa do routerja, če nima up. imena in gesla.

Jaz imam v domačem omrežju 3 routerje, eden je gateway, ostala dva pa služita zgolj kot AP. Na vseh je naložen dd-wrt zadnje možne različice za model routerja. Dostop do routerja iz WAN pa je onemogočen.