網絡供應商思科已經發布了一個安全公告，內容是他們在少數基于IOS和IOS XE的網絡設備上發現了一些密碼問題，它們可能為強力攻擊留下可趁之機。思科在一周前收到Hashcat項目研究員Philipp Schmidt和Jens Steube的通知。問題主要集中在Type 4算法上，而思科IOS 15代碼庫使用這個算法對用戶提供的密碼明文進行散列化。

Type 4實現最初被作為Type 5和Type 7密碼保護機制的重要替代方法，但是研究者發現，它會給強力攻擊留下機會，因為Type 4用戶密碼并沒有加鹽（Salted），而是使用只有一次迭代的SHA-256密碼哈希函數，替代專用的PBKDF2（第2版基于密碼的密鑰派生函數）。

這個網絡巨頭指出，只有支持Type 4密碼的IOS和IOS XE設備有這個問題。根據Schmidt的介紹，這個發現源于Hashcat論壇上關于Type 4密碼安全性的討論。雖然思科設備的用戶界面引用了SHA-256加密方式，但是他指出，他們希望思科提供“更安全的方法”。因為通過使用最新版本的oclHashcat+密碼破解和恢復工具，很快就可以破解使用Type 4密碼的加密算法。

Schmidt還指出，思科應將極易受到攻擊的Type 4密碼更換為他認為更安全的Type 5密碼。我們的發現表明，Type 4密碼的問題很嚴重。思科甚至想將舊的密碼類型（例如，Type 5）替換Type 4密碼。雖然最新版的IOS和IOS XE會提示Type 5的棄用警告，但我們認為，由于使用1,000次以上的迭代加鹽，Type 5要安全得多。

對于想要返回Type 5密碼的用戶，思科公告傳達了更壞的消息。運行其IOS和IOS XE軟件并支持Type 4密碼的設備無法生成Type 5密碼。想要生成Type 5密碼的客戶必須使用其他不支持Type 4的設備，然后將Type 5密碼復制到設備配置上。思科還警告說，如果考慮從支持Type 4密碼的版本降級為不支持Type 4密碼的版本，那么可能出現與特定設備配置相關的向后兼容問題。

關于將來的IOS和IOS XE密碼，思科已經宣布將淘汰Type 4密碼，并且刪除Type 5密碼棄用警告。這家公司也計劃引入基于Type 4密碼的自創新密碼保護機制，其中包括使用PBKDF2和SHA-256加密，它有80位加鹽和1,000次迭代。