平文で保存されたパスワードの暗号化
通常のpasswordコマンドで設定されたパスワードは暗号化されずに保存されるのは前記の通りですが
未暗号化のパスワードを一括して暗号化するコマンドも用意されています。
設定コマンド
(config)# service password-encryption
このコマンドが実行された時点で保存されているパスワードが全て暗号化されると共に以降保存される
パスワードも全て暗号化されます。
平文で保存されたパスワードがある状態で実行
その後running-configの当該行を確認すると暗号化されている事が分かります
より強力なパスワードの暗号化
secretコマンドで元から暗号で設定されたパスワードとservice password-encryptionコマンドにより暗号化されたパスワードの形式が
異なる事に気づいているでしょうか
username user1 password 7 0822455D0A1654
username user2 secret 5 $1$mERr$yG9qv7LLYVv0YzwRYtdTM/
暗号文に相当する部分が異なるのは暗号化方式が違う為です。
実はservice password-encryptionは最低限の暗号化しか行っておらず比較的簡単に元の文章(平文のパスワード)を解読することが可能です
service password-encryptionコマンドにより暗号化されたパスワードを解析するwebサービスも多数あるので
試しにGoogleで「Cisco パスワード解析」と検索して出てきたサイトに暗号文を入れて見ます。
(インターネット上にはセキュリティ的に怪しいサイトもありますのでアクセスは自己責任でお願いします)
するとものの数秒で解析が終わり平文のパスワードが現れます。
これはervice password-encryptionコマンドにより暗号化されたパスワードがタイプ7パスワードと呼ばれ
暗号文から平文が導き出せる暗号強度の弱い暗号技術である事に由来します。
暗号強度を上げるには暗号文から平文を導く事が出来ない不可逆性の暗号を使用すれば良いのですが
平文が必要になる場面(Radiusの認証Keyなど)がある為現状のタイプ7パスワードはまだしばらく使用され続ける
事になりそうです。(Cisco社も現状を理解した上で改修の予定は無いとしています)
これ以外のルーター内部でしか使用しないパスワードに関しては強力な暗号を使用しても問題無いので
不可逆性の暗号文を保存する方式も採用されています(secretコマンドなど)
これらはタイプ〇パスワードと表現され暗号文の前に入る数字で区別されます
