Nascondere le password in wpa_supplicant.conf con WPA-EAP e MSCHAP-v2

Il mio wpa_supplicant.confassomiglia a questo:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

Con questa combinazione specifica di WPA-EAP e MSCHAP-v2, c'è un modo per non includere la mia password in chiaro in questo file di configurazione?

Il ChangeLog sembra affermare che questo è fattibile (dal 2005!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Alcune note:

• L'uso di una password diversa non è un'opzione, in quanto non ho alcun controllo su questa rete (questa è una rete aziendale e un singolo nome utente / password viene utilizzato per accedere a tutti i servizi, inclusa la connessione al Wifi).

• Una parola sui duplicati:

  • 40: use-wpa-supplicant-without-plain-text-password riguarda le chiavi pre-condivise
  • 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap utilizza PAP come autenticazione di fase 2 (non MSCHAP-v2).
  • 85757: store-password-as-hash-in-wpa-supplicant-conf è molto simile a questa domanda, ma è stato (erroneamente) chiuso come duplicato di 74500 ; sfortunatamente, le risposte fornite al presunto duplicato sono specifiche di PAP e non si applicano al caso MSCHAP-v2. 85757 stesso ha una risposta sostenendo che è essenzialmente impossibile indipendentemente dal protocollo, ma la giustificazione non è valida ¹

¹ Quella risposta afferma che l'uso di una password con hash significa che l'hash diventa la password. Ciò è tecnicamente vero, ma almeno l'hash è una password solo wifi , che rappresenta un progresso significativo rispetto alla perdita di una password condivisa che consente l'accesso a più servizi.

Puoi generare tu stesso NtPasswordHash(noto anche come hash della password NTLM) come segue:

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Aggiungi il prefisso "hash:" nel file wpa_supplicant.conf, ad es

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

Su macOS il codice iconv è UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Nota che non ottieni molta sicurezza. Se un utente malintenzionato trova il file con l'hash, può unirsi banalmente alla rete (allo stesso modo del tuo computer), quindi avere l'hash della password non aiuta affatto. Se la password viene utilizzata in qualsiasi altro luogo, l'utente malintenzionato dovrebbe utilizzare la forza bruta per trovare la password originale (ovvero provare le password più probabili e calcolare il loro hash fino a trovare una corrispondenza). Dal momento che puoi calcolare circa 1 miliardo di hash al secondo su un normale PC, questo non è un grosso ostacolo e gli attaccanti possono facilmente usare tabelle precalcolate poiché l'hash non è salato. NT è davvero orribile come un algoritmo di hashing della password.

Apri terminale e digita:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Uscita campione:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

Apri il wpa_supplicant.conffile e aggiungi la seguente riga:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702