当您使用积极模式时，身份验证哈希（预共享密钥）作为对想要建立 IPSec 隧道的 vpn 客户端的初始数据包的响应进行传输。哈希（预共享密钥）未加密。如果攻击者可以捕获这些会话数据包，他们就可以发起攻击来恢复 PSK。攻击只影响激进模式，因为主模式加密哈希。有关这方面的更多信息，请参阅 Cisco 的Main vs. Aggressive Mode花絮。请注意，有一些安全工具可以使这些攻击变得简单（ikescan 等），请参阅：http: //blog.spiderlabs.com/2013/03/cracking-ike-aggressive-mode-hashes-part-1.html

只有使用 IKEv1 攻击模式，被动攻击者才能嗅探“哈希”。这个哈希的成分中唯一未知的部分是 PSK。– 它仍然是一个加密哈希，因此无法从中计算成分。

问题是：攻击者可以对其进行离线字典和暴力攻击。– 因此，正如您所建议的，强度实际上取决于您使用的 PSK 的随机性和长度。我相信，拥有一个好的 PSK 仍然需要数年时间才能破解。不幸的是，我不知道该范围内需要多少个字符。