私wpa_supplicant.conf
はこのように見えます:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
WPA-EAPとMSCHAP-v2のこの特定の組み合わせで、この構成ファイルにパスワードを明確に含めない方法はありますか?
ChangeLogは、これが実行可能であると主張しているようです(2005年以降)。
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
いくつかのメモ:
私はこのネットワークを制御できないため、別のパスワードを使用することは選択肢ではありません(これは企業ネットワークであり、Wifiへの接続を含むすべてのサービスへのアクセスに単一のユーザー名/パスワードが使用されます)。
重複について一言:
- 40:use-wpa-supplicant-without-plain-text-passwordsは事前共有キーに関するものです
- 74500:wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-papは、PAPをフェーズ2認証として使用します(MSCHAP-v2ではありません)。
- 85757:store-password-as-hash-in-wpa-supplicant-confはこの質問と非常に似ていますが、(誤って)74500の複製として閉じられました。残念ながら、複製とされるものに与えられた回答はPAPに固有のものであり、MSCHAP-v2の場合には適用されません。85757自体には、プロトコルに関係なく本質的に不可能であると主張する答えがありますが、正当化は無効です1
1 anserは、ハッシュされたパスワードを使用すると、ハッシュがパスワードになることを意味すると主張しています。これは技術的には事実ですが、少なくともハッシュはWi-Fi専用のパスワードであり、複数のサービスへのアクセスを許可する共有パスワードの漏洩に比べて大幅に進歩しています。
-d
wpa_supplicantの痕跡、私は別の取得EAP-PEAP: Derived Session-Id
、EAP-PEAP: Decrypted Phase 2 EAP
、MSCHAPV2: auth_challenge - hexdump(len=16):
、およびMSCHAPV2: password hash - hexdump(len=...)
出力、そして最終的に2件のメッセージが言ってEAP-TLV: TLV Result - Failure
やEAPOL authentication completed - result=FAILURE