내 wpa_supplicant.conf
모습은 다음과 같습니다.
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
WPA-EAP와 MSCHAP-v2의 특정 조합을 사용하여 이 구성 파일에 일반 텍스트 비밀번호를 포함하지 않는 방법이 있습니까?
변경 로그가 보입니다.이것을 주장하다효과가있다(2005년부터!):
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
몇 가지 참고사항:
네트워크를 제어할 수 없으므로 다른 비밀번호를 사용하는 것은 옵션이 아닙니다(회사 네트워크이며 Wi-Fi 연결을 포함한 모든 서비스에 액세스하는 데 단일 사용자 이름/비밀번호가 사용됩니다).
반복에 관한 한마디:
- 40: 일반 텍스트 비밀번호 없이 wpa-supplicant-를 사용하세요사전 공유 키 정보
- 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap2단계 인증에는 PAP를 사용합니다(MSCHAP-v2 아님).
- 85757: wpa-supplicant-conf에 비밀번호를 해시로 저장합니다.이 질문과 매우 유사하지만 중복으로 (부정확하게) 종료되었습니다.74500;안타깝게도 중복 주장에 대해 제공된 답변은 PAP에만 해당되며 MSCHAP-v2 사례에는 적용되지 않습니다.85757프로토콜과 상관없이 본질적으로 불가능하다는 답변 자체가 있는데, 그 이유가 타당하지 않습니다 .
1 답변자는 해시된 비밀번호를 사용한다는 것은 해시가 비밀번호가 된다는 것을 의미한다고 주장합니다. 이것은 기술적으로 정확하지만 적어도 해시는Wi-Fi 전용이는 액세스 권한을 부여하는 공유 비밀번호가 유출되는 것에 비해 크게 개선되었습니다.많은 종류의제공하다.
답변1
터미널을 열고 다음을 입력하세요.
wpa_passphrase YOUR_SSID YOUR_PASSWORD
예제 출력:
network={
ssid="YOUR_SSID"
#psk="YOUR_PASSWORD"
psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}
파일 을 열고 wpa_supplicant.conf
다음 줄을 추가합니다.
psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
답변2
다음과 같이 고유한 NtPasswordHash
(NTLM 비밀번호 해시라고도 함) 생성할 수 있습니다.
echo -n plaintext_password_here | iconv -t utf16le | openssl dgst -md4 -provider legacy
wpa_supplicant.conf 파일에 "hash:" 접두사를 추가합니다. 즉,
password=hash:6602f435f01b9173889a8d3b9bdcfd0b
macOS에서 iconv 코드는 다음과 같습니다.UTF-16LE
echo -n plaintext_password_here | iconv -t UTF-16LE | openssl dgst -md4 -provider legacy
많은 보안을 얻지 못할 것이라는 점을 명심하십시오. 공격자가 해시가 있는 파일을 찾으면 컴퓨터처럼 쉽게 네트워크에 접속할 수 있으므로 비밀번호 해싱은 전혀 도움이 되지 않습니다. 비밀번호가 다른 곳에서 사용되는 경우 공격자는 원래 비밀번호를 찾기 위해 무차별 대입을 사용해야 합니다(즉, 가장 가능성이 높은 비밀번호를 시도하고 일치하는 비밀번호를 찾을 때까지 해시를 계산합니다). 평균 PC에서는 초당 약 10억 개의 해시를 계산할 수 있으므로 이는 큰 장애물이 아니며 해시가 솔트 처리되지 않기 때문에 공격자가 미리 계산된 테이블을 쉽게 사용할 수 있습니다. NT는 비밀번호 해싱 알고리즘으로서는 정말 나쁩니다.