WPA-EAP 및 MSCHAP-v2를 사용하여 wpa_supplicant.conf에서 비밀번호 숨기기

tag-icon tag-icon security password wpa-supplicant wpa
WPA-EAP 및 MSCHAP-v2를 사용하여 wpa_supplicant.conf에서 비밀번호 숨기기

wpa_supplicant.conf모습은 다음과 같습니다.

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

WPA-EAP와 MSCHAP-v2의 특정 조합을 사용하여 이 구성 파일에 일반 텍스트 비밀번호를 포함하지 않는 방법이 있습니까?

변경 로그가 보입니다.이것을 주장하다효과가있다(2005년부터!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

몇 가지 참고사항:

1 답변자는 해시된 비밀번호를 사용한다는 것은 해시가 비밀번호가 된다는 것을 의미한다고 주장합니다. 이것은 기술적으로 정확하지만 적어도 해시는Wi-Fi 전용이는 액세스 권한을 부여하는 공유 비밀번호가 유출되는 것에 비해 크게 개선되었습니다.많은 종류의제공하다.

답변1

터미널을 열고 다음을 입력하세요.

wpa_passphrase YOUR_SSID YOUR_PASSWORD

예제 출력:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

파일 을 열고 wpa_supplicant.conf다음 줄을 추가합니다.

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702

답변2

다음과 같이 고유한 NtPasswordHash(NTLM 비밀번호 해시라고도 함) 생성할 수 있습니다.

echo -n plaintext_password_here | iconv -t utf16le | openssl dgst -md4 -provider legacy

wpa_supplicant.conf 파일에 "hash:" 접두사를 추가합니다. 즉,

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

macOS에서 iconv 코드는 다음과 같습니다.UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl dgst -md4 -provider legacy

많은 보안을 얻지 못할 것이라는 점을 명심하십시오. 공격자가 해시가 있는 파일을 찾으면 컴퓨터처럼 쉽게 네트워크에 접속할 수 있으므로 비밀번호 해싱은 전혀 도움이 되지 않습니다. 비밀번호가 다른 곳에서 사용되는 경우 공격자는 원래 비밀번호를 찾기 위해 무차별 대입을 사용해야 합니다(즉, 가장 가능성이 높은 비밀번호를 시도하고 일치하는 비밀번호를 찾을 때까지 해시를 계산합니다). 평균 PC에서는 초당 약 10억 개의 해시를 계산할 수 있으므로 이는 큰 장애물이 아니며 해시가 솔트 처리되지 않기 때문에 공격자가 미리 계산된 테이블을 쉽게 사용할 수 있습니다. NT는 비밀번호 해싱 알고리즘으로서는 정말 나쁩니다.

관련 정보