Скрытие паролей в wpa_supplicant.conf с WPA-EAP и MSCHAP-v2

Моя wpa_supplicant.confвыглядит так:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

С этой конкретной комбинацией WPA-EAP и MSCHAP-v2, есть ли способ не включать мой пароль в открытом виде в этот файл конфигурации?

ChangeLog, кажется, утверждает, что это возможно (с 2005 года!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Некоторые заметки:

• Использование другого пароля не вариант, так как я не контролирую эту сеть (это корпоративная сеть, и одно имя пользователя / пароль используется для доступа ко всем службам, включая подключение к Wi-Fi).

• Несколько слов о дубликатах:

  • 40: пароли use-wpa-supplicant-без-text-text о предварительных общих ключах
  • 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap использует PAP в качестве аутентификации фазы 2 (не MSCHAP-v2).
  • 85757: store-password-as-hash-in-wpa-supplicant-conf очень похож на этот вопрос, но был (неверно) закрыт как дубликат 74500 ; к сожалению, ответы, представленные на предполагаемую копию, относятся к PAP и не относятся к делу MSCHAP-v2. У самого 85757 есть ответ, утверждающий, что это по существу невозможно независимо от протокола, но обоснование недействительно ¹

¹ Этот ансер утверждает, что использование хешированного пароля означает, что хеш становится паролем. Это технически верно, но, по крайней мере, хеш является паролем только для Wi-Fi , что является значительным прогрессом по сравнению с утечкой общего пароля, предоставляющего доступ к нескольким службам.

Вы можете сгенерировать NtPasswordHash(он же хэш пароля NTLM) следующим образом:

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Добавьте в префикс «hash:» в файле wpa_supplicant.conf, т.е.

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

На macOS код iconv UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Обратите внимание, что вы не получаете много безопасности. Если злоумышленник найдет файл с хешем, он может тривиально подключиться к сети (так же, как ваш компьютер), поэтому хеширование пароля не поможет вообще. Если пароль используется где-либо еще, то злоумышленнику придется использовать грубую силу, чтобы найти оригинальный пароль (то есть попробовать наиболее вероятные пароли и вычислить их хэш, пока не найдет совпадение). Поскольку на обычном ПК вы можете вычислять около 1 миллиарда хэшей в секунду, это не является большим препятствием, и злоумышленники могут легко использовать предварительно вычисленные таблицы, поскольку хэш не засолен. NT действительно ужасен как алгоритм хеширования паролей.

Откройте терминал и введите:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Пример вывода:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

Откройте wpa_supplicant.confфайл и добавьте следующую строку:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702