WiFiを設定していたときに、チュートリアルパスワードをハッシュ化してプレーンテキストで保存されないようにする(Wi-Fi アクセスにはユーザー名/パスワードを使用します)
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
ここでハッシュは
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Windows ネットワーク マウントで同様のことを行う方法はありますか? 現在、mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/shareネットワーク共有をマウントするために を使用していますが、パスワードをプレーンテキストで保存したくないです (プレーンテキストを保護する方法や、ルートのみが読み取り可能にする方法は知っていますが、それは私が望んでいることではありません)。
WiFi の場合と同様の方法で、CIFS ネットワーク共有のパスワードをハッシュできますか?
答え1
いいえ、パスワードを隠すことはできません。コンピュータはサーバーにパスワードを提示できる必要があります。つまり、パスワードを隠すためにどのような手段を使用するとしても、コンピュータはその隠された形式を解読できなければなりません。あなたのコンピュータがそれができるなら、誰のコンピュータでもそれができるのです。
EAP の場合は表面的には異なります。EAP の場合、クライアントはパスワードの NTML ハッシュを提示する必要があるためです。しかし、これは実質的にパスワードがそのハッシュであり、人間が判読できる入力ではないことを意味します。そのため、実際には、hash:構成ファイル内であっても、構成ファイルにはパスワードが平文で含まれています。
あなたが読んだチュートリアルは、ファイル内の EAP パスワードをハッシュ化することでセキュリティ上の大きな利点が得られると示唆しており、非常に誤解を招きます。実際、そのパスワードを他の用途に使用しない場合は、まったく利点がありません。上で説明したように、有効なパスワードはハッシュです。同じパスワードが他の用途にも使用されている場合 (サーバーがハッシュではなくパスワードを必要とする場合)、ある程度の利点がありますが、MD4 はブルート フォース攻撃が非常に簡単なため、利点は限られています。
毎回パスワードを入力したくない場合は、パスワードをパスワード マネージャーに保存し、自分だけがパスワード マネージャーにアクセスできるようにするのが最善策です。誰かがコンピューターを盗んだ場合に備えて、パスワードがディスク上で暗号化されていることを確認してください (もちろん、これは起動後のある時点でパスワード コンテナーを復号化する必要があることを意味します)。ただし、誰かがコンピューターにアクセスした場合、パスワードにもアクセスできるようになります。これを防ぐ方法はありません。
サーバーの構成に影響を与えることができ、セキュリティを強化したい場合は、Kerberos 認証を有効にすることを検討してください。Kerberos 認証を徹底的に構成すると、ログイン パスワードを使用してネットワーク共有にアクセスできるようになります。