关于本地帐户的密码复杂性，您有这些选项...

• Cisco NX-OS：我不确定您是否可以在 NX-OS 中配置本地密码策略；但是，NX-OS默认拒绝弱密码。要禁用此功能，请no password strength-checking在全局配置中使用。
• 思科 IOS：
  • 密码长度：security password min-length. 诚然，长度本身是一个相当弱的检查，但 IOS 至少可以检测/拒绝蛮力攻击（见下文）。

有几件事要记住......

• 许多旧版本的 Cisco IOS 使用弱“Type 7”散列来保护密码免遭窃听；互联网上有十亿个这样的工具来反转这些哈希。类型 7 散列不应该被认为是安全的，因此，将配置存档在具有良好权限的目录中（即您的 linux tftp 目录可能不是一个好的位置，因为大多数人将 tftp 文件权限更改为 777）。

  • 具有讽刺意味的是，弱的“类型 7”算法对于初学者来说看起来很安全，并且可以通过名为service password-encryption.
  • secret如果可能的话，应该始终在用户名中使用关键字：即username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. 这至少是md5明文密码的一个不错的哈希值。较新的 IOS 版本尝试使用更强的算法，但在正确之前失败了。
  • 审核本地帐户以查看是否可以升级它们以使用secret关键字并不是一个坏主意。在 linux 中，它就像grep ^username /path/to/your/configs/* | grep -v secret（今天在我的 $dayjob 上给自己做个笔记）一样简单
• 较新版本的 IOS 具有捕获针对路由器的蛮力攻击的功能；ACL 应用于 vty。
  • 如果在 5 分钟内密码检查失败 3 次，此命令将自动应用 acl 来阻止有问题的源 IP 地址 60 秒： login block-for 60 attempts 3 within 300
  • 您可以自定义使用的访问列表login quiet-mode access-class [acl-name]；默认情况下，IOS 应用一个名为的 aclsl_def_acl