Como Spiff já mencionou, nem a senha nem a chave mestra PMK de 256 bits (derivada da senha e do SSID) são trocadas entre a estação e ponto de acesso durante o handshake de 4 vias.
Detalhes sobre o handshake de 4 vias podem ser encontrados, e. aqui ou aqui .
No caso em que você está descrevendo (onde uma senha errada é usada), apenas as duas primeiras mensagens são trocadas:
- Na mensagem 1 , o AP envia um nonce (Na) para a estação.
- A estação usa esse nonce (Na) um nonce de seu próprio (Ns), seu próprio endereço MAC, os endereços MAC do AP e o PMK para construir um código de integridade de mensagem (MIC).
- Na mensagem 2 , a estação envia seu nonce (Ns) e o MIC para o AP.
- O ponto de acesso agora usa seu nonce (Na), o nonce da estação (Ns), seu próprio endereço MAC, os endereços MAC da estação e o PMK para reconstruir o MIC recebido da estação e verificar com este que o PMK usado pela estação estava correto. No caso de um PMK errado usado pela estação, o MIC enviado pela estação na mensagem 2 não pode ser verificado pelo AP. Portanto, o AP interrompe o handshake e não envia a mensagem 3 do handshake.
De acordo com o meu conhecimento em userland, você não tem acesso ao conteúdo dos quadros de gerenciamento do EAPOL que são trocados durante o handshake
através de uma interface exposta por hostapd .
- Nonce Na
- Nonce Ns
- endereço MAC da estação
- endereço MAC do AP
- MIC
Você pode usar uma ferramenta como aircrack-ng para recuperar a senha por meio de uma força bruta ou ataque de dicionário no handshake WPA2 parcial capturado.