image

NSA geeft advies over wachtwoordtypes voor Cisco-apparaten

vrijdag 18 februari 2022, 10:16 door Redactie, 4 reacties

De Amerikaanse geheime dienst NSA heeft beveiligingsadvies gepubliceerd voor organisaties die met Cisco-apparaten werken. Volgens de NSA is er een toename van het aantal aanvallen op netwerken, waarbij onder andere routers en andere netwerkapparaten worden gecompromitteerd. Zodra aanvallers toegang tot deze apparaten hebben, die vaak een essentiële rol in het netwerk spelen, zijn verdere aanvallen mogelijk.

Deze netwerkapparaten zijn op verschillende manieren te compromitteren, onder andere wanneer beheerders zwakke wachtwoorden kiezen, routerconfiguratiebestanden die wachtwoordhashes bevatten via e-mail versturen en wachtwoorden hergebruiken. Een aanvaller die het wachtwoord van het ene apparaat achterhaalt kan zo op het andere apparaat inloggen.

De NSA adviseert netwerkbeheerders om multifactorauthenticatie te gebruiken, maar erkent dat in sommige gevallen alleen een wachtwoord moet worden gebruikt. Cisco-apparaten bieden verschillende opties voor het hashen van wachtwoorden die in configuratiebestanden worden opgeslagen. Volgens de Amerikaanse geheime dienst is het belangrijk dat beheerders hierbij het juiste wachtwoordtype kiezen.

Bij het juiste type worden wachtwoorden voldoende veilig opgeslagen door middel van een salt, hash en iteraties. Cisco biedt verschillende wachtwoordtypes, maar alleen type 8 voldoet, zo stelt de NSA. "Type 8 wachtwoorden worden gehasht met het PasswordBased Key Derivation Function versie 2 (PBKDF2), SHA-256, een 80-bit salt en 20.000 iteraties, wat het in vergelijking met eerdere wachtwoordtypes veiliger maakt. De wachtwoorden worden als hashes in het configuratiebestand opgeslagen", aldus de geheime dienst.

Image

Reacties (4)
18-02-2022, 10:38 door Anoniem
In het document wordt type 5 aangeduid als een MD5 hash.
Het is echter een crypt hash en zal geen collision veroorzaken omdat bij een gelijk wachtwoord de hash steeds anders is.

Beter is om een sterk wachtwoord te gebruiken, zoals :

‘Wij gebruiken Cisco apparatuur waarvan je maar moet afwachten of dat veilig is’

Dit zijn de hashes :
crypt : $1$JVsw5QR.$Qk6kmalxJ/cpobY/h.Lki1
bcrypt : $2y$10$jqQ6FKppf/.N7Z6do7lYWO8VH2zTQ/9QXme/CWcUKPvLTp8/Ddghm
md5 : 161fd0483264716dadf64e23840a122d
18-02-2022, 13:29 door Anoniem
Dank. Merk op dat ook Cisco Type 8 passwords te kraken zijn als het password zelf onvoldoende entropie bevat,

https://www.infosecmatter.com/cisco-password-cracking-and-decrypting-guide/
20-02-2022, 08:38 door Anoniem
Door Anoniem: Dank. Merk op dat ook Cisco Type 8 passwords te kraken zijn als het password zelf onvoldoende entropie bevat,

https://www.infosecmatter.com/cisco-password-cracking-and-decrypting-guide/

Het maakt niet uit hoe veilig het wachtwoordtype is, als je toch wachtwoorden gebruikt die zelf niet veilig zijn.
Het is steeds de zwakste schakel in de keten die iets onveilig maakt, en dit advies is dus om ervoor te zorgen dat het type van PW encoding niet de zwakste schakel is.
20-02-2022, 11:33 door Anoniem
Door Anoniem:
Door Anoniem: Dank. Merk op dat ook Cisco Type 8 passwords te kraken zijn als het password zelf onvoldoende entropie bevat,

https://www.infosecmatter.com/cisco-password-cracking-and-decrypting-guide/

Het maakt niet uit hoe veilig het wachtwoordtype is, als je toch wachtwoorden gebruikt die zelf niet veilig zijn.
Het is steeds de zwakste schakel in de keten die iets onveilig maakt, en dit advies is dus om ervoor te zorgen dat het type van PW encoding niet de zwakste schakel is.

Op https://www.math4sci.com/randomness-in-science-and-philisophy/ is achtergrond informatie te vinden hoe je met quantum random generatoren passwords kunt genereren welke onkraakbaar zijn, ook met een quantum computer.

Er worden een aantal voorbeeld systemen gegeven welke op quantum randomness draaien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.