Приховування паролів у wpa_supplicant.conf з WPA-EAP та MSCHAP-v2

Моє wpa_supplicant.confвиглядає так:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

За допомогою цієї специфічної комбінації WPA-EAP та MSCHAP-v2, чи є спосіб не включити свій пароль чітко в цей файл конфігурації?

Здається, ChangeLog стверджує, що це можливо (з 2005 року!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Деякі примітки:

• Використовувати інший пароль - це не варіант, оскільки я не маю контролю над цією мережею (це корпоративна мережа, і одне ім’я користувача / пароль використовується для доступу до всіх сервісів, включаючи підключення до Wi-Fi).

• Слово про дублікати:

  • 40: використання-wpa-суплікант-без простого тексту-паролів - це загальнодоступні ключі
  • 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap використовує PAP як автентифікацію фази-2 (не MSCHAP-v2).
  • 85757: store-password-as-hash-in-wpa-supplicant-conf дуже схожий на це питання, але був (неправильно) закритий як дублікат 74500 ; на жаль, відповіді, подані на передбачуваний дублікат, специфічні для PAP, і не стосуються випадку MSCHAP-v2. 85757 сама відповідь стверджує, що це по суті неможливо незалежно від протоколу, але обґрунтування недійсне ¹

¹ Цей ансер стверджує, що використання хешованого пароля означає, що хеш стає паролем. Це технічно вірно, але, принаймні, хеш - це лише доступ до Wi-Fi , що є значним прогресом щодо витоку загального пароля, що надає доступ до декількох сервісів.

Ви можете генерувати NtPasswordHash(так само хеш паролів NTLM) таким чином:

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Префікс його "hash:" у файлі wpa_supplicant.conf, тобто

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

На macOS код iconv є UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Зауважте, що ви не отримуєте особливої ​​безпеки. Якщо зловмисник знайде файл із хешем, то він може тривіально приєднатися до мережі (так само, як це робить ваш комп’ютер), тому хеширование пароля зовсім не допомагає. Якщо пароль використовується деінде, то зловмиснику доведеться застосувати грубу силу, щоб знайти оригінальний пароль (тобто спробувати найбільш вірогідні паролі та обчислити їх хеш, поки вони не знайдуть відповідність). Оскільки ви можете обчислити близько 1 мільярда хешів в секунду на звичайному ПК, це не велика перешкода, і зловмисники можуть легко використовувати попередньо обчислені таблиці, оскільки хеш несольовий. NT справді жахливий як алгоритм хешування паролів.

Відкрити термінал і ввести:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Вибірка зразка:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

Відкрийте wpa_supplicant.confфайл і додайте наступний рядок:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702