WPA-EAP এবং MSCHAP-v2 এর সাথে wpa_supplicant.conf এ পাসওয়ার্ড লুকানো হচ্ছে


23

আমার wpa_supplicant.confচেহারাটি এরকম:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

WPA-EAP এবং MSCHAP-v2 এর নির্দিষ্ট সংমিশ্রণের সাথে, এই কনফিগারেশন ফাইলে আমার পাসওয়ার্ডটি পরিষ্কার করে অন্তর্ভুক্ত না করার উপায় আছে কি?

চেঞ্জলগ দাবি করেছে যে এটি সম্ভব (2005 সাল থেকে!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

কিছু নোট:

1 আনসার দাবি করেছে যে একটি হ্যাশ পাসওয়ার্ড ব্যবহার করার অর্থ হ্যাশ পাসওয়ার্ড হয়ে যায়। এটি প্রযুক্তিগতভাবে সত্য, তবে কমপক্ষে হ্যাশটি একটি ওয়াইফাই- পাসওয়ার্ড, যা একাধিক পরিষেবাদিতে অ্যাক্সেস মঞ্জুর করে একটি ভাগ করা পাসওয়ার্ড ফাঁস করার ক্ষেত্রে গুরুত্বপূর্ণ অগ্রগতি ।

উত্তর:


20

আপনি NtPasswordHashনিজের মতো করে (ওরফে এনটিএলএম পাসওয়ার্ড হ্যাশ) তৈরি করতে পারেন :

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Wpa_supplicant.conf ফাইলে এটি "হ্যাশ:" দিয়ে উপস্থাপন করুন, যেমন

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

ম্যাকোজে আইকনভিও কোডটি UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

মনে রাখবেন যে আপনি খুব বেশি সুরক্ষা পান না। যদি কোনও আক্রমণকারী হ্যাশটির সাহায্যে ফাইলটি সন্ধান করে, তবে তারা তুচ্ছভাবে নেটওয়ার্কে যোগ দিতে পারে (আপনার কম্পিউটারের মতোই), সুতরাং পাসওয়ার্ডটি হ্যাশ করলে কোনও লাভ হয় না। যদি পাসওয়ার্ডটি অন্য কোথাও ব্যবহার করা হয়, তবে আক্রমণকারীকে মূল পাসওয়ার্ডটি খুঁজে পেতে (যেমন সর্বাধিক সম্ভাব্য পাসওয়ার্ডগুলি চেষ্টা করে এবং কোনও ম্যাচ না পাওয়া পর্যন্ত তাদের হ্যাশ গণনা করতে হবে) নিষ্ঠুর বল প্রয়োগ করতে হবে। যেহেতু আপনি সাধারণ পিসিতে প্রতি সেকেন্ডে প্রায় 1 বিলিয়ন হ্যাশ গণনা করতে পারেন, এটি কোনও বড় বাধা নয় এবং হ্যাশটি অবিচলিত হওয়ার কারণে আক্রমণকারীরা সহজেই পূর্বনির্ধারিত টেবিলগুলি ব্যবহার করতে পারে। পাসওয়ার্ড হ্যাশিং অ্যালগরিদম হিসাবে এনটি সত্যই ভয়ঙ্কর।


ধন্যবাদ! এটি আশাব্যঞ্জক দেখাচ্ছে তবে এটি আমার পক্ষে কাজ করছে না; দিকে তাকিয়ে -dwpa_supplicant এর ট্রেস, আমি আলাদা হয়ে গেল EAP-PEAP: Derived Session-Id, EAP-PEAP: Decrypted Phase 2 EAP, MSCHAPV2: auth_challenge - hexdump(len=16):, এবং MSCHAPV2: password hash - hexdump(len=...)আউটপুট, এবং পরিশেষে দুই বার্তা বলার অপেক্ষা রাখে না EAP-TLV: TLV Result - FailureএবংEAPOL authentication completed - result=FAILURE
Clément

কেবল স্পষ্ট করে বলতে: আমি MSCHAPV2: password hash - hexdumpব্যর্থ হওয়া ডিবাগ ট্রেসগুলিতে একটি লাইন পেয়েছি , যা উত্সাহিত করছে (অ-এনক্রিপ্ট করা ব্যক্তির MSCHAPV2: password - hexdump_asciiপরিবর্তে একটি লাইন রয়েছে), তবে সংযোগ ব্যর্থ হয়
ক্ল্যামেন্ট

1
@ ক্লিটমেন্ট ডান হ্যাশ তৈরি হচ্ছে তা নিশ্চিত করার জন্য: আপনার সিস্টেমে এক্সিকিউট করা উপরের কমান্ডটি এই অনলাইন ক্যালকুলেটরের মতো একই হ্যাশ গণনা করে , তাই না?
গুইডো

1
পাসওয়ার্ডটি 14 টি অক্ষরের বেশি হলে এটি কাজ করে না।
tjohnson

1
@ অ্যালডেন খুব সস্তা। হ্যাশ থেকে সরাসরি ইনপুটটিতে ফিরে যাওয়ার কোনও উপায় নেই তবে আপনি প্রচুর সম্ভাব্য পাসওয়ার্ড চেষ্টা করতে পারেন এবং মিল না পাওয়া পর্যন্ত আপনি তাদের পাসওয়ার্ডগুলি গণনা করতে পারেন। এমডি 4 খুব দ্রুত, 6 বছরের পুরানো জিপিইউ সহ 2 সেকেন্ডে 1 বিলিয়ন
গিলস 'অশুভ হওয়া বন্ধ করুন'

16

টার্মিনাল খুলুন এবং টাইপ করুন:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

নমুনা আউটপুট:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

wpa_supplicant.confফাইলটি খুলুন এবং নিম্নলিখিত লাইনটি যুক্ত করুন:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702

2
একটি ডাব্লুপিএ পিএসকে (যা এসএসআইডি এবং পাসওয়ার্ডের একটি হ্যাশ সমন্বয়) কোনও এনটিএলএম হ্যাশ / এনটিপ্যাসওয়ার্ডহ্যাশ (যা কেবল পাসওয়ার্ডের 16-বিট MD4 হ্যাশ) এর মতো নয়।
গুইডো

5
ওপি ডাব্লুপিএ-পিএপকে নয়, ডব্লিউপিএ-ইএপি সম্পর্কে জিজ্ঞাসা করেছিল।
গুইডো

2
দুঃখিত যদি পোস্টটি এটি পরিষ্কার না করে: আমি তালিকাভুক্ত প্রথম অ-সদৃশটিতে ঠিক এটিই সমাধান। আমি যে কনফিগারেশনটি সম্পর্কে জিজ্ঞাসা করছি তাতে কোনও প্রাক-ভাগ করা কী নেই।
ক্লিমেট

1
এটি সুনির্দিষ্ট প্রশ্ন নাও হতে পারে, তবে এটি আমার সমস্যা সমাধানে সহায়তা করেছে। ধন্যবাদ.
টাইপলজিক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.