网络供应商思科已经发布了一个安全公告,内容是他们在少数基于IOS和IOS XE的网络设备上发现了一些密码问题,它们可能为强力攻击留下可趁之机。思科在一周前收到Hashcat项目研究员Philipp Schmidt和Jens Steube的通知。问题主要集中在Type 4算法上,而思科使用IOS 15代码库这个算法对用户提供的密码明文进行散列化。
Type 4实现最初被作为Type 5和Type 7密码保护机制的重要替代方法,但是研究者发现,它会给强力攻击留下机会,因为Type 4用户密码并没有加盐(Salted),而是使用只有一次迭代的SHA-256密码哈希函数,替代专用的PBKDF2(第2版基于密码的密钥派生函数)。
这个网络巨头指出,只有支持Type 4密码的IOS和IOS XE设备有这个问题。根据Schmidt的介绍,这个发现源于Hashcat论坛上关于Type 4密码安全性的讨论。虽然思科设备的用户界面引用了SHA-256加密方式,但是他指出,他们希望思科提供“更安全的方法”。因为通过使用最新版本的oclHashcat+密码破解和恢复工具,很快就可以破解使用Type 4密码的加密算法。
Schmidt还指出,思科应将极易受到攻击的Type 4密码更换为他认为更安全的Type 5密码。我们的发现表明,Type 4密码的问题很严重。思科甚至想将旧的密码类型(例如,Type 5)替换Type 4密码。虽然最新版的IOS和IOS XE会提示Type 5的弃用警告,但我们认为,由于使用1,000次以上的迭代加盐,Type 5要安全得多。
对于想要返回Type 5密码的用户,思科公告传达了更坏的消息。运行其IOS和IOS XE软件并支持Type 4密码的设备无法生成Type 5密码。想要生成Type 5密码的客户必须使用其他不支持Type 4的设备,然后将Type 5密码复制到设备配置上。思科还警告说,如果考虑从支持Type 4密码的版本降级为不支持Type 4密码的版本,那么可能出现与特定设备配置相关的向后兼容问题。
关于将来的IOS和IOS XE密码,思科已经宣布将淘汰Type 4密码,并且删除Type 5密码弃用警告。这家公司也计划引入基于Type 4密码的自创新密码保护机制,其中包括使用PBKDF2和SHA-256加密,它有80位加盐和1,000次迭代。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
浪潮思科强强联手 战略发布会即将在京召开
浪潮思科将于11月15日在京举办“聚浪思享•创新网络”战略发布会。发布会将聚焦新网络时代下的产业技术趋势变革,为参会嘉宾深入解析未来网络的发展方向。
-
思科计划收购Observable Networks,进一步强化云安全
日前思科表示,预计10月底将收购Observable Networks。思科尚未披露交易的财务细节,这一收购将加强思科的云安全。
-
思科收购SDN供应商Viptela,强化其SDN功能
网络巨头思科已宣布收购私有软件定义广域网(SD-WAN)供应商Viptela,通过云让其产品能够提供更多功能、使用更简单。
-
本周看点:思科动作频繁 收购、合作一样都不少
本周网络看点貌似都与传统网络大厂思科有关,先是其公开宣布计划收购美国私营云安全公司CloudLock;而恰在本周,IBM与思科宣布联手打造下一代“智能协作”解决方案,旨在重新定义人们的工作方式。