扫描二维码

订阅kaiyun体育官方人口 微信

一些思科IOS、IOS XE设备无法抵挡强力攻击

来源: TechTarget中国
2013/4/8 20:10:26
网络供应商思科已经发布了一个安全公告,内容是他们在少数基于IOS和IOS XE的网络设备上发现了一些密码问题,它们可能为强力攻击留下可趁之机

分享到: 新浪微博 腾讯微博
本文关键字: 思科 IOS XE

  网络供应商思科已经发布了一个安全公告,内容是他们在少数基于IOS和IOS XE的网络设备上发现了一些密码问题,它们可能为强力攻击留下可趁之机。思科在一周前收到Hashcat项目研究员Philipp Schmidt和Jens Steube的通知。问题主要集中在Type 4算法上,而思科IOS 15代码库使用这个算法对用户提供的密码明文进行散列化。

  Type 4实现最初被作为Type 5和Type 7密码保护机制的重要替代方法,但是研究者发现,它会给强力攻击留下机会,因为Type 4用户密码并没有加盐(Salted),而是使用只有一次迭代的SHA-256密码哈希函数,替代专用的PBKDF2(第2版基于密码的密钥派生函数)。

  这个网络巨头指出,只有支持Type 4密码的IOS和IOS XE设备有这个问题。根据Schmidt的介绍,这个发现源于Hashcat论坛上关于Type 4密码安全性的讨论。虽然思科设备的用户界面引用了SHA-256加密方式,但是他指出,他们希望思科提供“更安全的方法”。因为通过使用最新版本的oclHashcat+密码破解和恢复工具,很快就可以破解使用Type 4密码的加密算法。

  Schmidt还指出,思科应将极易受到攻击的Type 4密码更换为他认为更安全的Type 5密码。我们的发现表明,Type 4密码的问题很严重。思科甚至想将旧的密码类型(例如,Type 5)替换Type 4密码。虽然最新版的IOS和IOS XE会提示Type 5的弃用警告,但我们认为,由于使用1,000次以上的迭代加盐,Type 5要安全得多。

  对于想要返回Type 5密码的用户,思科公告传达了更坏的消息。运行其IOS和IOS XE软件并支持Type 4密码的设备无法生成Type 5密码。想要生成Type 5密码的客户必须使用其他不支持Type 4的设备,然后将Type 5密码复制到设备配置上。思科还警告说,如果考虑从支持Type 4密码的版本降级为不支持Type 4密码的版本,那么可能出现与特定设备配置相关的向后兼容问题。

  关于将来的IOS和IOS XE密码,思科已经宣布将淘汰Type 4密码,并且删除Type 5密码弃用警告。这家公司也计划引入基于Type 4密码的自创新密码保护机制,其中包括使用PBKDF2和SHA-256加密,它有80位加盐和1,000次迭代。

责编:李红燕
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
畅享
首页
返回
顶部
×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
Baidu
map