使用WPA-EAP和MSCHAP-v2将密码隐藏在wpa_supplicant.conf中

我的wpa_supplicant.conf样子是这样的：

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

通过WPA-EAP和MSCHAP-v2的这种特定组合，是否有办法不在此配置文件中明确包含我的密码？

ChangeLog似乎声称这是可行的（自2005年以来！）：

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

一些注意事项：

• 不能使用其他密码，因为我无法控制此网络（这是公司网络，并且使用单个用户名/密码访问所有服务，包括连接到Wifi）。

• 关于重复的一句话：

  • 40：不使用纯文本密码的wpa请求者是关于预共享密钥的
  • 74500：wpa申请人存储密码为哈希，wpa-eap-phase2-auth-pap使用PAP作为第二阶段认证（不是MSCHAP-v2）。
  • 85757：将密码存储为wpa-supplicant-conf中的哈希非常类似于此问题，但是（错误地）作为74500的副本被关闭；不幸的是，对声称的副本的回答仅针对PAP，不适用于MSCHAP-v2。85757本身有一个答案，声称无论采用哪种协议，这实际上都是不可能的，但理由无效¹

¹分析器声称使用哈希密码意味着哈希成为密码。从技术上讲，这是正确的，但至少散列是仅用于wifi的密码，与泄漏授予多个服务访问权限的共享密码相比，这是一个重大进步。

您可以自己生成NtPasswordHash（也称为NTLM密码哈希），如下所示：

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

在wpa_supplicant.conf文件中以“ hash：”为前缀，即

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

在macOS上，iconv代码为 UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

请注意，您不会获得太多安全性。如果攻击者找到带有散列的文件，则他们可以轻松地加入网络（与您的计算机相同），因此对密码进行散列完全没有帮助。如果在其他任何地方都使用了密码，则攻击者将不得不使用蛮力查找原始密码（即尝试使用最可能的密码并计算其哈希值，直到找到匹配的密码）。由于您可以在普通PC上每秒计算约10亿个哈希，因此这并不是一个大障碍，并且由于哈希值未加盐，攻击者可以轻松使用预先计算的表。作为密码哈希算法，NT确实很可怕。

打开终端并输入：

wpa_passphrase YOUR_SSID YOUR_PASSWORD

样本输出：

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

打开wpa_supplicant.conf文件并添加以下行：

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702