Tôi wpa_supplicant.conf
trông như thế này:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
Với sự kết hợp cụ thể này của WPA-EAP và MSCHAP-v2, có cách nào để không bao gồm mật khẩu của tôi rõ ràng trong tệp cấu hình này không?
ChangeLog dường như tuyên bố rằng điều này là khả thi (kể từ năm 2005!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
Một số lưu ý:
Sử dụng một mật khẩu khác không phải là một tùy chọn, vì tôi không có quyền kiểm soát mạng này (đây là mạng công ty và một tên người dùng / mật khẩu được sử dụng để truy cập tất cả các dịch vụ, bao gồm cả kết nối với Wifi).
Một từ về trùng lặp:
- 40: mật khẩu sử dụng-wpa-thay thế-không-đơn giản-văn bản là về các khóa được chia sẻ trước
- 74500: wpa-augicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap sử dụng PAP làm xác thực giai đoạn 2 (không phải MSCHAP-v2).
- 85757: store-password-as-hash-in-wpa-augicant-conf rất giống với câu hỏi này, nhưng đã bị (không chính xác) đóng như một bản sao của 74500 ; thật không may, các câu trả lời được đưa ra cho bản sao có mục đích cụ thể là PAP và không áp dụng cho trường hợp MSCHAP-v2. Bản thân 8557 đã có câu trả lời cho rằng về cơ bản là không thể, bất kể giao thức là gì, nhưng sự biện minh là không hợp lệ 1
1 Anser tuyên bố rằng sử dụng mật khẩu băm có nghĩa là băm trở thành mật khẩu. Điều này đúng về mặt kỹ thuật, nhưng ít nhất hàm băm là mật khẩu chỉ có wifi , đây là tiến bộ đáng kể trong việc rò rỉ mật khẩu chia sẻ cấp quyền truy cập vào nhiều dịch vụ.
-d
dấu vết của wpa_supplicant, tôi nhận khác nhauEAP-PEAP: Derived Session-Id
,EAP-PEAP: Decrypted Phase 2 EAP
,MSCHAPV2: auth_challenge - hexdump(len=16):
, vàMSCHAPV2: password hash - hexdump(len=...)
kết quả đầu ra, và cuối cùng là hai thông điệp nóiEAP-TLV: TLV Result - Failure
vàEAPOL authentication completed - result=FAILURE