Когда я настраивал свой WiFi, я обнаружилруководствохешировать мой пароль, чтобы он не хранился в открытом виде (мы используем имя пользователя/пароль для доступа к Wi-Fi)
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
где ХЭШ
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Есть ли способ сделать что-то подобное для сетевого монтирования Windows? В настоящее время я использую mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/shareдля монтирования сетевой папки, но я хотел бы сохранить свой пароль в открытом виде (я знаю способы защитить открытый текст или сделать его доступным для чтения только пользователю root, но это не то, что мне нужно).
Могу ли я хешировать свой пароль для сетевого ресурса CIFS таким же образом, как я это сделал для WiFi?
решение1
Нет, вы не можете скрыть пароль. Ваш компьютер должен иметь возможность предоставить пароль серверу. Это означает, что какие бы средства вы ни использовали для сокрытия пароля, ваш компьютер должен иметь возможность принять эту скрытую форму и расшифровать ее. Если ваш компьютер может это сделать, любой компьютер может это сделать.
Случай EAP на первый взгляд отличается, поскольку для EAP клиент должен предоставить NTML-хэш пароля. Но это означает, что фактически пароль — это этот хэш, а не читаемый человеком ввод. Так что на самом деле, даже hash:в файле конфигурации, файл конфигурации содержит пароль в открытом тексте.
Прочитанное вами руководство вводит в заблуждение, подразумевая, что хеширование пароля EAP в файле имеет существенное преимущество в плане безопасности. На самом деле, оно не имеет никакого преимущества, если вы не используете этот пароль для чего-либо еще, поскольку, как мы видели выше, эффективным паролем является хеш. Если тот же пароль используется для чего-либо еще (где серверу нужен пароль, а не его хеш), то некоторое преимущество есть, но оно ограничено, поскольку MD4 довольно легко поддается брутфорсу.
Если вы не хотите вводить пароль каждый раз, лучше всего хранить пароль в менеджере паролей и убедиться, что только вы можете получить к нему доступ. Убедитесь, что он зашифрован на диске на случай, если кто-то украдет ваш компьютер (конечно, это означает, что вам придется расшифровать контейнер пароля в какой-то момент после загрузки). Но если кто-то получит доступ к вашему компьютеру, он получит доступ и к паролю. Нет способа предотвратить это.
Если вы можете влиять на конфигурацию сервера и хотите повысить безопасность, рассмотрите возможность включения аутентификации Kerberos, которая при правильной настройке может позволить вам получать доступ к сетевым ресурсам, используя ваш пароль для входа.