Ocultando senhas no wpa_supplicant.conf com WPA-EAP e MSCHAP-v2

Minha wpa_supplicant.confaparência é assim:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

Com essa combinação específica de WPA-EAP e MSCHAP-v2, existe uma maneira de não incluir minha senha clara neste arquivo de configuração?

O ChangeLog parece afirmar que isso é viável (desde 2005!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Algumas notas:

• Usar uma senha diferente não é uma opção, pois não tenho controle sobre esta rede (esta é uma rede corporativa e um único nome de usuário / senha é usado para acessar todos os serviços, incluindo a conexão ao Wifi).

• Uma palavra sobre duplicatas:

  • 40: use-wpa-supplicant-sem-texto-simples-senhas é sobre chaves pré-compartilhadas
  • 74500: wpa-suplicant-armazenar-senha-como-hash-wpa-eap-com-phase2-auth-pap usa PAP como autenticação de fase 2 (não MSCHAP-v2).
  • 85757: armazenar-senha-como-hash-em-wpa-suplicante-conf é muito semelhante a esta pergunta, mas foi (incorretamente) fechado como uma duplicata de 74500 ; infelizmente, as respostas dadas à suposta duplicada são específicas para PAP e não se aplicam ao caso MSCHAP-v2. O próprio 85757 possui uma resposta alegando que é essencialmente impossível, independentemente do protocolo, mas a justificativa é inválida ¹

¹ Esse aviso afirma que o uso de uma senha com hash significa que o hash se torna a senha. Isso é tecnicamente verdade, mas pelo menos o hash é uma senha apenas de wifi , que é um progresso significativo ao vazar uma senha compartilhada que concede acesso a vários serviços.

Você pode gerar o NtPasswordHash(também conhecido como hash da senha NTLM) da seguinte maneira:

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Prefixe-o com "hash:" no arquivo wpa_supplicant.conf, ou seja,

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

No macOS, o código iconv é UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Observe que você não ganha muita segurança. Se um invasor encontrar o arquivo com o hash, ele poderá ingressar na rede de maneira trivial (da mesma forma que o seu computador), portanto, o hash da senha não ajuda em nada. Se a senha for usada em qualquer outro lugar, o invasor terá que usar força bruta para encontrar a senha original (por exemplo, tente as senhas mais prováveis ​​e calcule seu hash até encontrar uma correspondência). Como você pode calcular cerca de 1 bilhão de hashes por segundo em um PC comum, isso não é um grande obstáculo, e os invasores podem usar facilmente tabelas pré-computadas, já que o hash é sem sal. O NT é realmente horrível como um algoritmo de hash de senha.

Terminal aberto e tipo:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Saída de amostra:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

Abra o wpa_supplicant.confarquivo e adicione a seguinte linha:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702