WPA-EAPおよびMSCHAP-v2を使用してwpa_supplicant.confでパスワードを非表示にする

俺の wpa_supplicant.confは次のようになります。

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

WPA-EAPとMSCHAP-v2のこの特定の組み合わせで、この構成ファイルにパスワードを明確に含めない方法はありますか？

ChangeLogは これは実現可能であると主張します （2005以降）：

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

いくつかのメモ：

• このネットワークを制御できないため、別のパスワードを使用することはできません（これは企業ネットワークであり、単一のユーザー名/パスワードを使用して、Wifiへの接続を含むすべてのサービスにアクセスします）。

• 重複についての言葉：

  • 40：use-wpa-supplicant-without-plain-text-passwords は事前共有キーに関するものです
  • 74500：wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap PAPをフェーズ2認証として使用します（MSCHAP-v2ではありません）。
  • 85757：store-password-as-hash-in-wpa-supplicant-conf はこの質問とよく似ていますが、 745 の複製として（誤って）閉じられました。残念ながら、その重複とされる回答はPAPに固有のものであり、MSCHAP-v2のケースには適用されません。 85757 自体には、プロトコルに関係なく本質的に不可能であると主張する回答がありますが、正当化は無効です¹

¹ そのanserは、ハッシュされたパスワードを使用すると、ハッシュがパスワードになることを意味すると主張しています。これは技術的には真実ですが、少なくともハッシュはwifi-onlyパスワードです。これは、multipleサービス。