De Amerikaanse geheime dienst NSA heeft beveiligingsadvies gepubliceerd voor organisaties die met Cisco-apparaten werken. Volgens de NSA is er een toename van het aantal aanvallen op netwerken, waarbij onder andere routers en andere netwerkapparaten worden gecompromitteerd. Zodra aanvallers toegang tot deze apparaten hebben, die vaak een essentiële rol in het netwerk spelen, zijn verdere aanvallen mogelijk.

Deze netwerkapparaten zijn op verschillende manieren te compromitteren, onder andere wanneer beheerders zwakke wachtwoorden kiezen, routerconfiguratiebestanden die wachtwoordhashes bevatten via e-mail versturen en wachtwoorden hergebruiken. Een aanvaller die het wachtwoord van het ene apparaat achterhaalt kan zo op het andere apparaat inloggen.

De NSA adviseert netwerkbeheerders om multifactorauthenticatie te gebruiken, maar erkent dat in sommige gevallen alleen een wachtwoord moet worden gebruikt. Cisco-apparaten bieden verschillende opties voor het hashen van wachtwoorden die in configuratiebestanden worden opgeslagen. Volgens de Amerikaanse geheime dienst is het belangrijk dat beheerders hierbij het juiste wachtwoordtype kiezen.

Bij het juiste type worden wachtwoorden voldoende veilig opgeslagen door middel van een salt, hash en iteraties. Cisco biedt verschillende wachtwoordtypes, maar alleen type 8 voldoet, zo stelt de NSA. "Type 8 wachtwoorden worden gehasht met het PasswordBased Key Derivation Function versie 2 (PBKDF2), SHA-256, een 80-bit salt en 20.000 iteraties, wat het in vergelijking met eerdere wachtwoordtypes veiliger maakt. De wachtwoorden worden als hashes in het configuratiebestand opgeslagen", aldus de geheime dienst.