Password di hashing più lunga di 14 caratteri in wpa_supplicant.conf

6

Il mio college ha una rete WPA2 Enterprise, che posso collegare al mio Pi dopo aver configurato la rete in wpa_supplicant.conf .

Non voglio che la mia password Wi-Fi sia memorizzata in testo normale, quindi uso echo -n $password | iconv -t utf16le | openssl md4 per cancellarla e quindi memorizzo l'hash MD4 invece della password di testo in chiaro nel file.

Ho scritto uno script Bash che aggiunge la config e hash la password, che molti studenti hanno usato per connettere i loro Pis alla rete. Funziona sempre, tranne per qualcuno che ha una password più lunga di 14 caratteri. Questo è ottimo per la sicurezza, ma causa problemi con l'algoritmo hash MD4.

wpa_passphrase non funzionerà perché genera un PSK per una rete WPA-PSK. La rete della mia scuola è WPA-EAP, che richiede un nome utente e una password separati, ed è il motivo per cui utilizzo l'hashing della password NTLM.

Esiste un modo per cancellare le password nel file wpa_supplicant.conf che hanno una lunghezza superiore a 14 caratteri? Ho provato a fare hashing solo i primi 14 caratteri della password, o una stringa vuota, ma nessuno di questi lavori.

    
posta tjohnson 17.11.2017 - 18:22
fonte

1 risposta

1

Non ha senso inserire la parola d'ordine quando usi md4 come algoritmo di hashing.

La minaccia che stai cercando di sconfiggere con hashing della password è:

  1. Qualcuno che ottiene accesso fisico al dispositivo ed estrae la password dal file system.
  2. Qualcuno che ottiene l'accesso remoto e l'escalation dei privilegi su root per poter leggere la password.

Ora ci si può aspettare che entrambe queste minacce abbiano accesso a hardware abbastanza recente che può forzare la forza attraverso md4 come se fosse un testo semplice.

Per aiutare contro

  1. potresti utilizzare la crittografia completa del disco per mantenere la password sicura,
  2. dovresti considerare che qualcuno con accesso root remoto ha già accesso alla rete (o perché la connessione proviene da quella rete o perché il dispositivo sotto il loro controllo è già connesso alla rete).

    Poiché in genere è preferibile eseguire una rotazione su un host già compromesso piuttosto che connettere la macchina attacker alla rete stessa, non c'è molto vantaggio per l'utente malintenzionato nel compromettere la password WPA dalla configurazione - e se ci fosse , md4 non - come indicato in precedenza - ostacola sufficientemente un utente malintenzionato.

risposta data 27.11.2017 - 13:51
fonte

Leggi altre domande sui tag