网络供应商思科已经发布了一个安全公告，内容是他们在少数基于IOS和IOS XE的网络设备上发现了一些密码问题，它们可能为强力攻击留下可趁之机。思科在一周前收到Hashcat项目研究员Philipp Schmidt和Jens Steube的通知。问题主要集中在Type 4算法上，而思科使用IOS 15代码库这个算法对用户提供的密码明文进行散列化。

　　Type 4实现最初被作为Type 5和Type 7密码保护机制的重要替代方法，但是研究者发现，它会给强力攻击留下机会，因为Type 4用户密码并没有加盐（Salted），而是使用只有一次迭代的SHA-256密码哈希函数，替代专用的PBKDF2（第2版基于密码的密钥派生函数）。

　　这个网络巨头指出，只有支持Type 4密码的IOS和IOS XE设备有这个问题。根据Schmidt的介绍，这个发现源于Hashcat论坛上关于Type 4密码安全性的讨论。虽然思科设备的用户界面引用了SHA-256加密方式，但是他指出，他们希望思科提供“更安全的方法”。因为通过使用最新版本的oclHashcat+密码破解和恢复工具，很快就可以破解使用Type 4密码的加密算法。

　　Schmidt还指出，思科应将极易受到攻击的Type 4密码更换为他认为更安全的Type 5密码。我们的发现表明，Type 4密码的问题很严重。思科甚至想将旧的密码类型（例如，Type 5）替换Type 4密码。虽然最新版的IOS和IOS XE会提示Type 5的弃用警告，但我们认为，由于使用1,000次以上的迭代加盐，Type 5要安全得多。

　　对于想要返回Type 5密码的用户，思科公告传达了更坏的消息。运行其IOS和IOS XE软件并支持Type 4密码的设备无法生成Type 5密码。想要生成Type 5密码的客户必须使用其他不支持Type 4的设备，然后将Type 5密码复制到设备配置上。思科还警告说，如果考虑从支持Type 4密码的版本降级为不支持Type 4密码的版本，那么可能出现与特定设备配置相关的向后兼容问题。

　　关于将来的IOS和IOS XE密码，思科已经宣布将淘汰Type 4密码，并且删除Type 5密码弃用警告。这家公司也计划引入基于Type 4密码的自创新密码保护机制，其中包括使用PBKDF2和SHA-256加密，它有80位加盐和1,000次迭代。