내 wpa_supplicant.conf
모습은 다음과 같습니다.
network={
ssid="Some name"
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity="my-user-id"
password="(clear text password here)"
ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
phase2="auth=MSCHAPV2"
}
WPA-EAP와 MSCHAP-v2의 특정 조합으로이 구성 파일에 비밀번호를 명확하게 포함시키지 않는 방법이 있습니까?
ChangeLog는 이것이 가능하다고 주장하는 것 같습니다 (2005 년 이후!) :
* added support for storing EAP user password as NtPasswordHash instead
of plaintext password when using MSCHAP or MSCHAPv2 for
authentication (hash:<16-octet hex value>); added nt_password_hash
tool for hashing password to generate NtPasswordHash
몇 가지 참고 사항 :
-
이 네트워크를 제어 할 수 없으므로 다른 비밀번호를 사용하는 것은 옵션이 아닙니다 (이는 회사 네트워크이며 단일 사용자 이름 / 비밀번호는 Wi-Fi 연결을 포함하여 모든 서비스에 액세스하는 데 사용됨).
-
중복에 대한 단어 :
- 40 : use-wpa-supplicant-without-plain-text-passwords 는 사전 공유 키에 관한 것입니다.
- 74500 : wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap 은 PAP를 2 단계 인증 (MSCHAP-v2 아님)으로 사용합니다.
- 85757 : store-password-as-hash-in-wpa-supplicant-conf 는이 질문과 매우 유사하지만 74500 의 복제본으로 (올바르게) 닫혔습니다 . 불행히도, 복제 된 복제본에 대한 답변은 PAP에만 해당되며 MSCHAP-v2 사례에는 적용되지 않습니다. 85757 자체는 프로토콜에 관계없이 본질적으로 불가능하다는 주장을 가지고 있지만 그 정당성은 유효하지 않습니다 1
1 anser는 해시 된 암호를 사용하면 해시가 암호가된다고 주장합니다. 이것은 기술적으로 사실이지만 적어도 해시는 wifi 전용 암호이므로 여러 서비스에 대한 액세스 권한을 부여하는 공유 암호를 유출하는 것보다 상당히 진척 입니다.
답변
NtPasswordHash
다음과 같이 (일명 NTLM 암호 해시)를 직접 생성 할 수 있습니다 .
echo -n plaintext_password_here | iconv -t utf16le | openssl md4
wpa_supplicant.conf 파일에서 “hash :”접두사를 붙입니다.
password=hash:6602f435f01b9173889a8d3b9bdcfd0b
macOS에서 iconv 코드는 UTF-16LE
echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4
많은 보안을 얻지 못합니다. 공격자가 해시가있는 파일을 찾으면 컴퓨터와 같은 방식으로 네트워크에 간단하게 가입 할 수 있으므로 암호를 해시해도 전혀 도움이되지 않습니다. 암호가 다른 곳에서 사용되면 공격자는 무차별 대입을 사용하여 원래 암호를 찾아야합니다 (예 : 가장 가능성이 높은 암호를 시도하고 일치하는 것을 찾을 때까지 해시를 계산). 일반 PC에서 초당 약 10 억 해시를 계산할 수 있기 때문에 이는 큰 장애물이 아니며 해시가 솔트되지 않기 때문에 공격자는 미리 계산 된 테이블을 쉽게 사용할 수 있습니다. NT는 암호 해싱 알고리즘으로 정말 끔찍합니다.
답변
터미널 열기 및 유형 :
wpa_passphrase YOUR_SSID YOUR_PASSWORD
샘플 출력 :
network={
ssid="YOUR_SSID"
#psk="YOUR_PASSWORD"
psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}
wpa_supplicant.conf
파일을 열고 다음 줄을 추가하십시오.
psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702