Puedes estar donde quieras.
Una vez que tenga el protocolo de enlace, puede descifrar la contraseña en cualquier lugar que desee.
El protocolo de intercambio es como si tuviera una contraseña "hash" y quisiera descifrarla.
Un método para hacer esto es usar aircrack-ng que intenta romper el apretón de manos usando un ataque de diccionario (este es un ataque pasivo en tus paquetes capturados). Puede ver el tutorial completo aquí .
Realice la autentificación de los clientes wifi con aireplay-ng (desde aircrack-ng suite) o wifite. Asegúrese de que la calidad de su rx sea la mejor posible. Use dos adaptadores, y huela con uno usando airodump-ng (arregle ivs_only var en airodump-ng.c y vuelva a compilar) --output-format = csv, pcap o kismet. Inyectar con el otro. Dependiendo del tipo, es posible que necesite airmon-ng para configurar rfmon. Una vez que tengas un montón de apretones de manos, usa Pyrit para romperlos. Necesita una GPU o varias para esto (puede usar el modo cliente y conectarlo a otras máquinas en modo servidor a través de IP). El craqueo de la CPU está muerto, olvídalo. Tengo algunos scripts antiguos que usan aireplay-ng para mostrarlos ampliamente (cada wlan, algunos modos diferentes de autenticación), pero supongo que wifite es más fácil de usar.
Lea otras preguntas en las etiquetas wifi penetration-test password-cracking