Моя wpa_supplicant.conf
выглядит так:
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
С этой конкретной комбинацией WPA-EAP и MSCHAP-v2, есть ли способ не включать мой пароль в открытом виде в этот файл конфигурации?
ChangeLog, кажется, утверждает, что это возможно (с 2005 года!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
Некоторые заметки:
Использование другого пароля не вариант, так как я не контролирую эту сеть (это корпоративная сеть, и одно имя пользователя / пароль используется для доступа ко всем службам, включая подключение к Wi-Fi).
Несколько слов о дубликатах:
- 40: пароли use-wpa-supplicant-без-text-text о предварительных общих ключах
- 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap использует PAP в качестве аутентификации фазы 2 (не MSCHAP-v2).
- 85757: store-password-as-hash-in-wpa-supplicant-conf очень похож на этот вопрос, но был (неверно) закрыт как дубликат 74500 ; к сожалению, ответы, представленные на предполагаемую копию, относятся к PAP и не относятся к делу MSCHAP-v2. У самого 85757 есть ответ, утверждающий, что это по существу невозможно независимо от протокола, но обоснование недействительно 1
1 Этот ансер утверждает, что использование хешированного пароля означает, что хеш становится паролем. Это технически верно, но, по крайней мере, хеш является паролем только для Wi-Fi , что является значительным прогрессом по сравнению с утечкой общего пароля, предоставляющего доступ к нескольким службам.
-d
след wpa_supplicant, я получаю разныеEAP-PEAP: Derived Session-Id
,EAP-PEAP: Decrypted Phase 2 EAP
,MSCHAPV2: auth_challenge - hexdump(len=16):
иMSCHAPV2: password hash - hexdump(len=...)
выходы, и , наконец , два сообщения о том ,EAP-TLV: TLV Result - Failure
иEAPOL authentication completed - result=FAILURE