WPA_supplicant.conf में WPA-EAP और MSCHAP-v2 के साथ पासवर्ड छिपाएं

मेरा wpa_supplicant.confऐसा दिखता है:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

WPA-EAP और MSCHAP-v2 के इस विशिष्ट संयोजन के साथ, क्या इस कॉन्फ़िगरेशन फ़ाइल में स्पष्ट रूप से मेरे पासवर्ड को शामिल नहीं करने का कोई तरीका है?

ChangeLog का दावा है कि यह संभव है (2005 से!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

कुछ नोट:

• एक अलग पासवर्ड का उपयोग करना एक विकल्प नहीं है, क्योंकि इस नेटवर्क पर मेरा कोई नियंत्रण नहीं है (यह एक कॉर्पोरेट नेटवर्क है, और एकल उपयोगकर्ता नाम / पासवर्ड का उपयोग सभी सेवाओं तक पहुंचने के लिए किया जाता है, जिसमें वाईफाई से कनेक्ट करना भी शामिल है)।

• डुप्लिकेट के बारे में एक शब्द:

  • 40: उपयोग- wpa-supplicant- बिना-सादा-पाठ-पासवर्ड पूर्व-साझा कुंजी के बारे में है
  • 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-dif-pap PAP का उपयोग चरण -2 प्रमाणीकरण (MSCHAP-v2 नहीं) के रूप में करता है।
  • 85757: स्टोर-पासवर्ड-एज़-हैश-इन-वापा-सप्लिकेंट-कॉन्फिस इस प्रश्न के समान है, लेकिन 74500 के डुप्लिकेट के रूप में बंद किया गया था (गलत तरीके से) ; दुर्भाग्य से, कथित डुप्लिकेट दिए गए उत्तर PAP के लिए विशिष्ट हैं, और MSCHAP-v2 मामले पर लागू नहीं होते हैं। 85757 में खुद का दावा है कि यह प्रोटोकॉल की परवाह किए बिना अनिवार्य रूप से असंभव है, लेकिन औचित्य अमान्य है ¹

¹ यह दावा करता है कि हैश पासवर्ड का उपयोग करने का अर्थ है कि हैश पासवर्ड बन गया है। यह तकनीकी रूप से सच है, लेकिन कम से कम हैश एक वाईफाई-केवल पासवर्ड है, जो कई सेवाओं तक पहुंच साझा करने वाले साझा पासवर्ड को लीक करने पर महत्वपूर्ण प्रगति है ।

आप NtPasswordHash(उर्फ एनटीएलएम पासवर्ड हैश) को इस प्रकार उत्पन्न कर सकते हैं :

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

इसे wpa_supplicant.conf फ़ाइल में "हैश:" के साथ उपसर्ग करें, अर्थात

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

MacOS पर iconv कोड है UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

ध्यान दें कि आपको अधिक सुरक्षा प्राप्त नहीं है। यदि कोई हमलावर हैश के साथ फाइल ढूंढता है, तो वे तुच्छ रूप से नेटवर्क में शामिल हो सकते हैं (उसी तरह जो आपका कंप्यूटर करता है), इसलिए पासवर्ड को हैशेड करने से बिल्कुल भी मदद नहीं मिलती है। यदि पासवर्ड कहीं और उपयोग किया जाता है, तो हमलावर को मूल पासवर्ड खोजने के लिए जानवर बल का उपयोग करना होगा (यानी सबसे अधिक संभावना पासवर्ड की कोशिश करें और उनके हैश की गणना करें जब तक कि उन्हें एक मैच न मिले)। चूंकि आप एक साधारण पीसी पर प्रति सेकंड लगभग 1 बिलियन हैश की गणना कर सकते हैं, इसलिए यह एक बड़ी बाधा नहीं है, और हमलावर हैश किए जाने के बाद से आसानी से पूर्व-निर्मित तालिकाओं का उपयोग कर सकते हैं। NT वास्तव में एक पासवर्ड हैशिंग एल्गोरिथ्म के रूप में भयानक है।

टर्मिनल खोलें और टाइप करें:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

नमूना उत्पादन:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

wpa_supplicant.confफ़ाइल खोलें और निम्न पंक्ति जोड़ें:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702