wpa_supplicant.conf
Penampilan saya seperti ini:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
Dengan kombinasi spesifik WPA-EAP dan MSCHAP-v2 ini, adakah cara untuk tidak memasukkan kata sandi saya dengan jelas dalam file konfigurasi ini?
ChangeLog tampaknya mengklaim bahwa ini layak (sejak 2005!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
Beberapa catatan:
Menggunakan kata sandi yang berbeda bukanlah suatu pilihan, karena saya tidak memiliki kendali atas jaringan ini (ini adalah jaringan perusahaan, dan satu nama pengguna / kata sandi digunakan untuk mengakses semua layanan, termasuk menghubungkan ke Wifi).
Sepatah kata tentang duplikat:
- 40: use-wpa-supplicant-without-plain-text-passwords adalah tentang kunci yang dibagikan sebelumnya
- 74500: wpa-pemohon-store-password-as-hash-wpa-eap-with-phase2-auth-pap menggunakan PAP sebagai otentikasi fase-2 (bukan MSCHAP-v2).
- 85757: store-password-as-hash-in-wpa-supplicant-conf sangat mirip dengan pertanyaan ini, tetapi (salah) ditutup sebagai duplikat 74500 ; Sayangnya, jawaban yang diberikan untuk duplikat yang diklaim khusus untuk PAP, dan tidak berlaku untuk kasus MSCHAP-v2. 85757 sendiri memiliki jawaban yang mengklaim bahwa pada dasarnya tidak mungkin terlepas dari protokol, tetapi pembenarannya tidak valid 1
1 Bahwa anser mengklaim bahwa menggunakan kata sandi hash berarti bahwa hash menjadi kata sandi. Secara teknis ini benar, tetapi setidaknya hash adalah kata sandi wifi-saja , yang merupakan kemajuan signifikan dari kebocoran kata sandi bersama yang memberikan akses ke beberapa layanan.
sumber
-d
jejak wpa_supplicant, saya mendapatkan berbedaEAP-PEAP: Derived Session-Id
,EAP-PEAP: Decrypted Phase 2 EAP
,MSCHAPV2: auth_challenge - hexdump(len=16):
, danMSCHAPV2: password hash - hexdump(len=...)
output, dan akhirnya dua pesan yang mengatakanEAP-TLV: TLV Result - Failure
danEAPOL authentication completed - result=FAILURE
MSCHAPV2: password hash - hexdump
garis di jejak debug yang gagal, yang cukup menggembirakan (yang non-terenkripsi memilikiMSCHAPV2: password - hexdump_ascii
garis sebagai gantinya), tetapi koneksi gagalTerminal terbuka dan ketik:
Output sampel:
Buka
wpa_supplicant.conf
file dan tambahkan baris berikut:sumber