網(wǎng)絡(luò)供應商思科已經(jīng)發(fā)布了一個安全公告，內(nèi)容是他們在少數(shù)基于IOS和IOS XE的網(wǎng)絡(luò)設(shè)備上發(fā)現(xiàn)了一些密碼問題，它們可能為強力攻擊留下可趁之機。思科在一周前收到Hashcat項目研究員Philipp Schmidt和Jens Steube的通知。問題主要集中在Type 4算法上，而思科IOS 15代碼庫使用這個算法對用戶提供的密碼明文進行散列化。

Type 4實現(xiàn)最初被作為Type 5和Type 7密碼保護機制的重要替代方法，但是研究者發(fā)現(xiàn)，它會給強力攻擊留下機會，因為Type 4用戶密碼并沒有加鹽（Salted），而是使用只有一次迭代的SHA-256密碼哈希函數(shù)，替代專用的PBKDF2（第2版基于密碼的密鑰派生函數(shù)）。

這個網(wǎng)絡(luò)巨頭指出，只有支持Type 4密碼的IOS和IOS XE設(shè)備有這個問題。根據(jù)Schmidt的介紹，這個發(fā)現(xiàn)源于Hashcat論壇上關(guān)于Type 4密碼安全性的討論。雖然思科設(shè)備的用戶界面引用了SHA-256加密方式，但是他指出，他們希望思科提供“更安全的方法”。因為通過使用最新版本的oclHashcat+密碼破解和恢復工具，很快就可以破解使用Type 4密碼的加密算法。

Schmidt還指出，思科應將極易受到攻擊的Type 4密碼更換為他認為更安全的Type 5密碼。我們的發(fā)現(xiàn)表明，Type 4密碼的問題很嚴重。思科甚至想將舊的密碼類型（例如，Type 5）替換Type 4密碼。雖然最新版的IOS和IOS XE會提示Type 5的棄用警告，但我們認為，由于使用1,000次以上的迭代加鹽，Type 5要安全得多。

對于想要返回Type 5密碼的用戶，思科公告?zhèn)鬟_了更壞的消息。運行其IOS和IOS XE軟件并支持Type 4密碼的設(shè)備無法生成Type 5密碼。想要生成Type 5密碼的客戶必須使用其他不支持Type 4的設(shè)備，然后將Type 5密碼復制到設(shè)備配置上。思科還警告說，如果考慮從支持Type 4密碼的版本降級為不支持Type 4密碼的版本，那么可能出現(xiàn)與特定設(shè)備配置相關(guān)的向后兼容問題。

關(guān)于將來的IOS和IOS XE密碼，思科已經(jīng)宣布將淘汰Type 4密碼，并且刪除Type 5密碼棄用警告。這家公司也計劃引入基于Type 4密碼的自創(chuàng)新密碼保護機制，其中包括使用PBKDF2和SHA-256加密，它有80位加鹽和1,000次迭代。