Hacker använder olika metoder för att upptäcka administrativa lösenord. De kan se över användarens axeln, försöka gissa lösenord baserat på användarens personliga information eller använda applikationer som läser av paket som innehåller klartextkonfigurationsfiler. Angripare kan också använda en lösenordsknäckare, som L0phtCrack eller Cain & Abel för att upptäcka lösenord.

Administratörer bör se till att starka lösenord gäller. På Cisco-routrar och många andra system ignoreras lösenordsledande mellanslag men mellanslag efter det första tecknet ignoreras inte. En metod för att skapa ett starkt lösenord är att använda ett tomt utrymme i lösenordet eller skapa en fras som består av många ord. Detta kallas en lösenfras. En lösenordsfras är ofta lättare att komma ihåg än ett komplext lösenord. En lösenordsfras är längre och svårare att gissa än ett lösenord.

IOS kommando för säkra lösenord

Det finns flera kommandon för routerkonfiguration som kan användas för att öka lösenordssäkerheten, till exempel följande:

• Som standard är lösenordslängden minst sex tecken. För att öka minimilängden, använd från det globala konfigurationsläget kommandot security passwords min-length x.
• Som standard, med undantag för lösenordet som genereras av kommandot enable secret, lagras alla Cisco-routerlösenord i klartext i routerns start- och running-konfigurationsfiler. För att kryptera alla klartextlösenord, använd kommandot service password-encryption i det globala konfigurationsläget. De krypterade lösenorden kan lätt knäckas med rätt intrångsverktyg. Av den anledningen bör detta kommando inte användas på produktion.
• Som standard förblir ett administrativt anslutning aktivt och inloggat i 10 minuter efter den senaste sessionsaktiviteten. För att inaktivera obevakade anslutningar, använd kommandot exec-timeout minutes [sekunder] i linjekonfigurationsläge för var och en av raderna som är konfigurerade för åtkomst.

Lösenordsalgoritmer

MD5-hashar anses inte längre vara säkra. Därför rekommenderas det nu att kryptera lösenord med antingen typ 8 eller typ 9 lösenord. Typ 8 och typ 9 introducerades i Cisco IOS 15.3(3)M. Typ 8 och typ 9 använder SHA-kryptering. Eftersom typ 9 är något starkare än typ 8, kommer den att användas under hela kursen närhelst det är tillåtet av Cisco IOS.

Konfigurering av typ 9-kryptering inte är så lätt som det kan verka, se bilden nedan:

För att använda denna form av kommandot måste du klistra in det krypterade lösenordet, som kan kopieras från en annan routerkonfiguration.

Ett exempel på konfiguration visas här nedan:

Observera att kommandot show run visar ett typ 9 krypterat lösenord för enable secret.
Kryptering av typ 8 och typ 9 introducerades också i Cisco IOS 15.3(3)M för kommandot username x secret. Men om man exekverar enbart kommandot username secret kommer lösenord att krypteras med MD5 (kompatibilitetsskäl). För att få typ 9 krypterat lösenord följa en annan syntax. Se bilden nedan:

Använd kommandot username algorithm-type scrypt för att ange typ 9-kryptering.