为相关的线路访问设置密码可以加强密访问的安全,而密码字符串本身的安全也是一件非常重要的事情,以下建议为设置密码的最佳实践:
n限定密码字符串的长度,字符数越多,猜测密码所需要的时间越长。
n建议使用混合字符,比如:大小写字母、数字、空格和其它符号,密码字符串的组合越复杂,攻击者猜中密码的可能性就越小。
n不要使用密码字典中的单词。
n需要经常变更密码。
演示目标:要求配置路由器的密码安全策略。
演示环境:任意一台思科的路由器或者交换机。
演示背景:要求为思科的路由器或者交换机配置密码安全策略,当用户为网络设备配置任何密码时,要求最少需要8个字串符,并对密码字符串的内容进行加密。
演示步骤:
第一步:在没配置密码安全策略时,可以通过show running-config指令查看当前运行的配置文件,如下图10.39所示,可清晰的看出没有启动加密密码的功能,所以enable用户的密码字符串的内容清晰可见,而且只有4个字符串的长度,这不能达到建议的密码长度(至少8位)。
第二步:现在使用如下配置订制密码的安全策略,要求用户在配置任何密码字符串时,至少需要8个字符的长度,并按要求对密码字符串的内容进行加密,具体配置如下所示:
R1(config)#security passwords min-length 8* 设置密码的最小长度。
R1(config)#service password-encryption* 设置加密密码字符串。
当完成上述配置后,此时在路由器上使用enable password ccie来为enable用户设置密码,会出现如下图10.40的提示,配置的密码无效,因为目前所配置的密码长度只占4个字符串的长度,不满足上面所要求的密码安全策略。
现在使用指令enable password ccie123W完成对enable用户密码的配置,这次能够成功将密码完成配置,因为它已经满足策略的要求。
现在可以通过show running-config指令再查看当前运行的配置文件,如下图10.41所示,加密密码的功能也被启动,也可以看出密码字符串的内容已经被加密不再以明文的形式显示在配置文件中。这里需要注意:servicepassword-encryption它是使用Vigenere加密算法来完成的,事实上,这种加密方式比较脆弱,现在网络上很多软件都提供了破解这种加密的软件,它没有enable secret ccie123W的5型密码(不可被恢复)安全。
