我正在配置一个新的 3560 交换机。运行 IOS 版本 15.0(2)SE6。
当我想配置启用机密时,我可以选择以下内容:
#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
我知道 MD5 HASHED 很弱,但我想知道 PBKDF2 和 SCRYPT 之间哪个更安全?
最好的祝福,
简短的回答是,SCRYPT 具有针对暴力破解的额外保护,并且使用 PBKDF2。但是,哪种方式最好最终取决于哪种实现方式在最长时间内最安全,而且只有时间会证明一切。
思科支持论坛上的这个答案提供了一个全面的答案:
类型 8 密码是类型 4 的含义:PBKDF2(基于密码的密钥派生函数 2),具有 20000 次 SHA-256 迭代。虽然很好,但这仍然容易受到暴力破解,因为 SHA-256 很容易在 ASICS 或显卡中非常快速地实现。这并不是说它容易,事实上如果你选择好的密码几乎是不可能的,但它是可行的
类型 9:类型 9 密码使用加密货币专家的 scrypt 算法。它的整个目标是确保运行算法的成本很高。它首先通过难以并行运行并需要权衡来做到这一点:要么使用大量内存并快速,要么使用少量内存并缓慢。诀窍是ASICS和显卡没有足够的内存(内存BW)来快速运行,所以在实践中运行这个算法非常慢。另一个有趣的事情是算法内部是......很多PBKDF2,所以在Scrypt中你结合了两者的优点。
底线:这些中的任何一个都比类型 5 更安全,并且几乎无限比可怕的破碎类型 4 更安全。