Mój wpa_supplicant.conf
wygląda tak:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
Czy w przypadku tej konkretnej kombinacji WPA-EAP i MSCHAP-v2 istnieje możliwość, aby moje hasło nie było wyraźnie wymienione w tym pliku konfiguracyjnym?
Dziennik zmian wydaje się twierdzić, że jest to wykonalne (od 2005 roku!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
Niektóre uwagi:
Używanie innego hasła nie jest opcją, ponieważ nie mam kontroli nad tą siecią (jest to sieć korporacyjna, a jedna nazwa użytkownika / hasło służy do uzyskania dostępu do wszystkich usług, w tym do połączenia z Wi-Fi).
Słowo o duplikatach:
- 40: use-wpa-suplikant-bez-zwykłego hasła tekstowego dotyczy kluczy współdzielonych
- 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap używa PAP jako uwierzytelnienia fazy 2 (nie MSCHAP-v2).
- 85757: store-password-as-hash-in-wpa-suplikant-conf jest bardzo podobny do tego pytania, ale został (niepoprawnie) zamknięty jako duplikat 74500 ; niestety odpowiedzi udzielone na rzekomy duplikat są specyficzne dla PAP i nie dotyczą przypadku MSCHAP-v2. Sam 85757 ma odpowiedź twierdzącą, że jest to w zasadzie niemożliwe bez względu na protokół, ale uzasadnienie jest nieprawidłowe 1
1 Ten anser twierdzi, że użycie hashowanego hasła oznacza, że hash staje się hasłem. Jest to technicznie prawdą, ale przynajmniej skrót to hasło tylko do Wi-Fi , co stanowi znaczący postęp w stosunku do wycieku hasła wspólnego, umożliwiającego dostęp do wielu usług.
-d
ślad wpa_supplicant, otrzymuję różneEAP-PEAP: Derived Session-Id
,EAP-PEAP: Decrypted Phase 2 EAP
,MSCHAPV2: auth_challenge - hexdump(len=16):
iMSCHAPV2: password hash - hexdump(len=...)
wyjść, a wreszcie dwa komunikaty mówiąEAP-TLV: TLV Result - Failure
iEAPOL authentication completed - result=FAILURE