Verstecken von Passwörtern in wpa_supplicant.conf mit WPA-EAP und MSCHAP-v2

Mein wpa_supplicant.confsieht so aus:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

Gibt es bei dieser speziellen Kombination von WPA-EAP und MSCHAP-v2 eine Möglichkeit, mein Kennwort nicht in clear in diese Konfigurationsdatei aufzunehmen?

Das ChangeLog scheint zu behaupten, dass dies machbar ist (seit 2005!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Einige Notizen:

• Die Verwendung eines anderen Passworts ist keine Option, da ich keine Kontrolle über dieses Netzwerk habe (dies ist ein Unternehmensnetzwerk und ein einziger Benutzername / Passwort wird für den Zugriff auf alle Dienste verwendet, einschließlich der Verbindung zum Wifi).

• Ein Wort zu Duplikaten:

  • 40: use-wpa-supplicant-without-plain-text-passwords handelt von vorinstallierten Schlüsseln
  • 74500: wpa-supplicant-store-password-as-Hash-wpa-eap-with-phase2-auth-pap verwendet PAP als Phase-2-Authentifizierung (nicht MSCHAP-v2).
  • 85757: store-password-as-hash-in-wpa-supplicant-conf ist dieser Frage sehr ähnlich, wurde jedoch (fälschlicherweise) als Duplikat von 74500 geschlossen . Leider beziehen sich die Antworten auf das angebliche Duplikat nur auf PAP und nicht auf den Fall MSCHAP-v2. 85757 selbst hat eine Antwort, die besagt, dass es unabhängig vom Protokoll im Wesentlichen unmöglich ist, aber die Begründung ist ungültig ¹

¹ Dieser Anser behauptet, dass die Verwendung eines Hash-Passworts bedeutet, dass der Hash zum Passwort wird. Dies ist technisch gesehen richtig, aber zumindest handelt es sich bei dem Hash um ein reines WLAN- Passwort. Dies ist ein bedeutender Fortschritt gegenüber dem Verlust eines gemeinsam genutzten Passworts, das den Zugriff auf mehrere Dienste gewährt .

Sie können den NtPasswordHashNTLM-Passwort-Hash wie folgt selbst generieren :

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Stellen Sie "hash:" in der Datei wpa_supplicant.conf voran, d. H

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

Unter macOS lautet der Symbolcode UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Beachten Sie, dass Sie nicht viel Sicherheit gewinnen. Wenn ein Angreifer die Datei mit dem Hash findet, kann er sich trivial mit dem Netzwerk verbinden (genau wie Ihr Computer), sodass das Hashing des Passworts überhaupt nicht hilft. Wenn das Kennwort an einer anderen Stelle verwendet wird, muss der Angreifer das ursprüngliche Kennwort mit brachialer Gewalt ermitteln (dh die wahrscheinlichsten Kennwörter ausprobieren und ihren Hash berechnen, bis eine Übereinstimmung gefunden wird). Da auf einem normalen PC ungefähr 1 Milliarde Hashes pro Sekunde berechnet werden können, ist dies keine große Hürde, und Angreifer können leicht vorberechnete Tabellen verwenden, da der Hash nicht gesalzen ist. NT ist wirklich schrecklich als Passwort-Hashing-Algorithmus.

Öffnen Sie das Terminal und geben Sie Folgendes ein:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Beispielausgabe:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

Öffnen Sie die wpa_supplicant.confDatei und fügen Sie die folgende Zeile hinzu:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702