Mein wpa_supplicant.conf
sieht so aus:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
Gibt es bei dieser speziellen Kombination von WPA-EAP und MSCHAP-v2 eine Möglichkeit, mein Kennwort nicht in clear in diese Konfigurationsdatei aufzunehmen?
Das ChangeLog scheint zu behaupten, dass dies machbar ist (seit 2005!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
Einige Notizen:
Die Verwendung eines anderen Passworts ist keine Option, da ich keine Kontrolle über dieses Netzwerk habe (dies ist ein Unternehmensnetzwerk und ein einziger Benutzername / Passwort wird für den Zugriff auf alle Dienste verwendet, einschließlich der Verbindung zum Wifi).
Ein Wort zu Duplikaten:
- 40: use-wpa-supplicant-without-plain-text-passwords handelt von vorinstallierten Schlüsseln
- 74500: wpa-supplicant-store-password-as-Hash-wpa-eap-with-phase2-auth-pap verwendet PAP als Phase-2-Authentifizierung (nicht MSCHAP-v2).
- 85757: store-password-as-hash-in-wpa-supplicant-conf ist dieser Frage sehr ähnlich, wurde jedoch (fälschlicherweise) als Duplikat von 74500 geschlossen . Leider beziehen sich die Antworten auf das angebliche Duplikat nur auf PAP und nicht auf den Fall MSCHAP-v2. 85757 selbst hat eine Antwort, die besagt, dass es unabhängig vom Protokoll im Wesentlichen unmöglich ist, aber die Begründung ist ungültig 1
1 Dieser Anser behauptet, dass die Verwendung eines Hash-Passworts bedeutet, dass der Hash zum Passwort wird. Dies ist technisch gesehen richtig, aber zumindest handelt es sich bei dem Hash um ein reines WLAN- Passwort. Dies ist ein bedeutender Fortschritt gegenüber dem Verlust eines gemeinsam genutzten Passworts, das den Zugriff auf mehrere Dienste gewährt .
-d
Spur von wpa_supplicant, erhalte ich unterschiedlicheEAP-PEAP: Derived Session-Id
,EAP-PEAP: Decrypted Phase 2 EAP
,MSCHAPV2: auth_challenge - hexdump(len=16):
, undMSCHAPV2: password hash - hexdump(len=...)
Ausgänge, und schließlich zwei Nachrichten sagen ,EAP-TLV: TLV Result - Failure
undEAPOL authentication completed - result=FAILURE