Und wieder eine MD5-Verwendung weniger!

Der Untergang von MD5 ist nicht aufzuhalten. Zwar sehe ich auch heute noch immer wieder neue VPN-Konfigs, die mit MD5 arbeiten, aber nach und nach wird auch im Cisco IOS die Verwendung von MD5 reduziert. Während früher lokale Passwörter mit MD5 gehashed wurden, wird in aktuellen IOS-Versionen dafür SHA256 verwendet, was mit dem Password-Typ “4” gekennzeichnet wird:

R1(config)#username cisco secret 1234QWerYXcv

R1(config)#do sh run | i username
username cisco secret 4 irYgUmM5jSgCvMDO0jEQ3Z65YnGxJ1JbHhX4TrRyGX2

4 Replies to “Und wieder eine MD5-Verwendung weniger!”

  1. Aber geschlampt hat Cisco bei der Umsetzung.
    Hab ne Menge damit getestet.
    Das Ergebnis 9bog.uZESi7ZvDKpBKW3dHCHcU8R7/CIaL7ZcO7OvwM sieht ganz stark nach SHA-256(Unix) aus. Wie auch schon Ciscos Secret Version MD5.
    Nur das der Anfang in Ciscos IOS wohl hardcoded ist. Es fehlt am Anfang das $5$1-16Stellen$
    Z.B. das übliche c ist immer 9bog.uZESi7ZvDKpBKW3dHCHcU8R7/CIaL7ZcO7OvwM
    Egal auf welchem Gerät das konfiguriert wird.
    Dadurch wird der Einsatz von Rainbowtables viel einfacher. Ne Liste mit 30000 Einträgen existiert bereits 😉
    Das ist trotz SHA256 nicht zwingend förderlich für die Sicherheit!
    Gruß
    Sebastian

    1. habs auch eben gesehen. Gut gedacht, grottig gemacht.

      “Due to an implementation issue, the Type 4 password algorithm does not use PBKDF2 and does not use a salt, but instead performs a single iteration of SHA-256 over the user-provided plaintext password. This approach causes a Type 4 password to be less resilient to brute-force attacks than a Type 5 password of equivalent complexity.”

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.