Mientras configuraba mi WiFi, encontré untutorialcodificar mi contraseña para que no se almacene en texto plano (usamos nombre de usuario/contraseña para el acceso wifi)
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
donde HASH es
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
¿Hay alguna manera de hacer algo similar para un montaje en red de Windows? Actualmente uso mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/sharepara montar un recurso compartido de red, pero me gustaría mantener mi contraseña fuera del texto sin formato (conozco formas de proteger el texto sin formato o hacerlo solo legible por root, eso no es lo que quiero).
¿Puedo codificar mi contraseña para un recurso compartido de red cifs de manera similar a lo que pude hacer para WiFi?
Respuesta1
No, no puedes ocultar la contraseña. Su computadora debe poder presentar la contraseña al servidor. Esto significa que cualquiera que sea el medio que utilice para ocultar la contraseña, su computadora debe poder tomar esa forma oculta y decodificarla. Si su computadora puede hacerlo, la computadora de cualquiera puede hacerlo.
El caso de EAP es diferente en la superficie porque para EAP el cliente necesita presentar el hash NTML de la contraseña. Pero eso significa que efectivamente la contraseña es ese hash y no la entrada legible por humanos. De hecho, incluso hash:en el archivo de configuración, el archivo de configuración contiene la contraseña en texto sin cifrar.
El tutorial que leyó es muy engañoso al implicar que el cifrado de la contraseña EAP en el archivo tiene un beneficio de seguridad significativo. De hecho, no tiene ningún beneficio si no usas esa contraseña para nada más, ya que como vimos arriba la contraseña efectiva es el hash. Si la misma contraseña también se usa para otra cosa (donde el servidor quiere la contraseña y no su hash), entonces hay algún beneficio, pero es limitado porque MD4 es bastante fácil de usar por fuerza bruta.
Si no desea escribir su contraseña cada vez, lo mejor que puede hacer es almacenarla en un administrador de contraseñas y asegurarse de que solo usted pueda acceder al administrador de contraseñas. Asegúrese de que esté cifrado en el disco en caso de que alguien robe su computadora (por supuesto, esto significa que tendrá que descifrar el contenedor de contraseñas en algún momento después del inicio). Pero si alguien obtiene acceso a su computadora, obtendrá acceso a la contraseña. No hay manera de evitarlo.
Si puede influir en la configuración del servidor y desea mejorar la seguridad, considere habilitar la autenticación Kerberos, que si se configura completamente puede permitirle acceder a recursos compartidos de red utilizando su contraseña de inicio de sesión.