Enquanto eu estava configurando meu WiFi, encontrei umtutorialfazer hash da minha senha para que ela não seja armazenada em texto simples (usamos nome de usuário/senha para acesso wifi)
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
onde está o HASH
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Existe uma maneira de fazer algo semelhante para uma montagem de rede do Windows? Atualmente uso mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/sharepara montar um compartilhamento de rede, mas gostaria de manter minha senha fora do texto simples (estou ciente de maneiras de proteger o texto simples ou torná-lo legível apenas pelo root, não é isso que eu quero).
Posso fazer o hash da minha senha para um compartilhamento de rede cifs de maneira semelhante ao que consegui fazer para o WiFi?
Responder1
Não, você não pode ocultar a senha. Seu computador precisa ser capaz de apresentar a senha ao servidor. Isso significa que qualquer que seja o meio usado para ocultar a senha, seu computador deve ser capaz de assumir essa forma oculta e decodificá-la. Se o seu computador pode fazer isso, o computador de qualquer pessoa pode fazer isso.
O caso do EAP é superficialmente diferente porque para o EAP o cliente precisa apresentar o hash NTML da senha. Mas isso significa que efetivamente a senha é esse hash e não a entrada legível por humanos. Então, na verdade, mesmo hash:no arquivo de configuração, o arquivo de configuração contém a senha em texto não criptografado.
O tutorial que você leu é muito enganoso, pois implica que o hash da senha EAP no arquivo traz um benefício de segurança significativo. Na verdade, não traz nenhum benefício se você não usar essa senha para mais nada, pois como vimos acima a senha efetiva é o hash. Se a mesma senha também for usada para outra coisa (onde o servidor deseja a senha e não seu hash), haverá algum benefício, mas é limitado porque o MD4 é bastante fácil de usar força bruta.
Se você não quiser digitar sua senha todas as vezes, sua melhor aposta é armazená-la em um gerenciador de senhas e certificar-se de que somente você possa acessá-lo. Certifique-se de que ele esteja criptografado no disco, caso alguém roube seu computador (é claro que isso significa que você terá que descriptografar o contêiner de senha em algum momento após a inicialização). Mas se alguém obtiver acesso ao seu computador, terá acesso à senha. Não há como evitar isso.
Se você puder influenciar a configuração do servidor e quiser melhorar a segurança, considere ativar a autenticação Kerberos, que, se configurada corretamente, poderá permitir o acesso a compartilhamentos de rede usando sua senha de login.