Als ich mein WLAN einrichtete, fand ich eineLernprogrammum mein Passwort zu hashen, sodass es nicht im Klartext gespeichert wird (wir verwenden Benutzername/Passwort für den WLAN-Zugang)
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
wobei HASH ist
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Gibt es eine Möglichkeit, etwas Ähnliches für eine Windows-Netzwerkmontage zu tun? Ich montiere derzeit mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/shareeine Netzwerkfreigabe, möchte aber mein Kennwort nicht im Klartext haben (ich kenne Möglichkeiten, den Klartext zu sichern oder ihn nur für Root lesbar zu machen, aber das ist nicht das, was ich möchte).
Kann ich mein Kennwort für eine CIFS-Netzwerkfreigabe auf ähnliche Weise hashen, wie ich es für WLAN tun konnte?
Antwort1
Nein, Sie können das Passwort nicht verschleiern. Ihr Computer muss in der Lage sein, das Passwort dem Server zu präsentieren. Das bedeutet, dass Ihr Computer, egal welche Methode Sie zur Verschleierung des Passworts verwenden, in der Lage sein muss, diese verschleierte Form zu übernehmen und zu dekodieren. Wenn Ihr Computer das kann, kann es jeder Computer.
Der Fall von EAP ist oberflächlich betrachtet anders, da der Client für EAP den NTML-Hash des Passworts vorlegen muss. Das bedeutet aber, dass das Passwort tatsächlich dieser Hash ist und nicht die menschenlesbare Eingabe. Tatsächlich hash:enthält die Konfigurationsdatei das Passwort also sogar in der Konfigurationsdatei im Klartext.
Das Tutorial, das Sie gelesen haben, ist sehr irreführend, da es suggeriert, dass das Hashen des EAP-Passworts in der Datei einen erheblichen Sicherheitsvorteil bietet. Tatsächlich hat es überhaupt keinen Vorteil, wenn Sie dieses Passwort nicht für etwas anderes verwenden, da, wie wir oben gesehen haben, das effektive Passwort der Hash ist. Wenn dasselbe Passwort auch für etwas anderes verwendet wird (wobei der Server das Passwort und nicht seinen Hash haben möchte), dann gibt es einen gewissen Vorteil, aber dieser ist begrenzt, da MD4 ziemlich leicht mit Brute Force geknackt werden kann.
Wenn Sie Ihr Passwort nicht jedes Mal neu eingeben möchten, speichern Sie es am besten in einem Passwort-Manager und stellen Sie sicher, dass nur Sie auf den Passwort-Manager zugreifen können. Stellen Sie sicher, dass das Passwort auf der Festplatte verschlüsselt ist, für den Fall, dass jemand Ihren Computer stiehlt (das bedeutet natürlich, dass Sie den Passwort-Container irgendwann nach dem Booten entschlüsseln müssen). Wenn sich jedoch jemand Zugriff auf Ihren Computer verschafft, erhält er auch Zugriff auf das Passwort. Das lässt sich nicht verhindern.
Wenn Sie Einfluss auf die Konfiguration des Servers haben und die Sicherheit verbessern möchten, können Sie die Aktivierung der Kerberos-Authentifizierung in Erwägung ziehen. Bei sorgfältiger Konfiguration ermöglicht sie Ihnen den Zugriff auf Netzwerkfreigaben mit Ihrem Anmeldekennwort.