Skillnaden mellan "Aktivera lösenord" och "Aktivera hemlighet" på en Cisco -router (och liknande enheter) är hur de lagras och den säkerhetsnivå de tillhandahåller.
Här är en uppdelning:
`Aktivera lösenord`
* lagring: Lagras i konfigurationsfilen i plaintext (eller minimalt dold med en svag, brytbar kryptering som Ciscos kryptering av typ 7).
* Säkerhet: Mycket svag . Alla med åtkomst till konfigurationsfilen (körkonfiguration, startkonfiguration eller till och med en säkerhetskopia) kan enkelt läsa lösenordet. Kryptering av typ 7 är lätt reversibel med hjälp av onlineverktyg eller enkla skript.
* Användning: Används främst för äldre utrustning eller situationer där säkerhet inte är ett primärt problem (testlaboratorier, isolerade nätverk). Det är starkt avskräckt för produktionsmiljöer.
* Exempel:
`` `
Aktivera lösenord MyPassword
`` `
`Aktivera hemlighet`
* lagring: Lagrad i konfigurationsfilen i en mycket starkare, enkelriktad krypterad format (vanligtvis MD5 eller SHA256). Detta innebär att lösenordet i sig aldrig är direkt synligt i konfigurationen. Även om själva hashas hash är synlig, är att vända en stark hash beräkningsmässigt omöjlig.
* Säkerhet: betydligt säkrare än "Aktivera lösenord". Även om någon får konfigurationsfilen kan de inte enkelt bestämma det faktiska lösenordet.
* Användning: rekommenderas Metod för att ställa in det privilegierade EXEC -lägeslösenordet. Det bör alltid användas i produktionsmiljöer.
* företräde: Om både "Aktivera lösenord" och "Aktivera hemlighet" är konfigurerade, har lösenordet "Aktivera hemligt" företräde. Routern kommer att uppmana lösenordet "Aktivera hemligt".
* Exempel:
`` `
Aktivera Secret MySecretPassword
`` `
Nyckelskillnader sammanfattade:
| Funktion | `Aktivera lösenord '| `Enable Secret` |
| ---------------- | ---------------------------- | ---------------------------- |
| Kryptering | Svag (eller ingen) | Strong (MD5 eller SHA256) |
| Säkerhet | Låg | Hög |
| Lagring | Klartext eller svag kryptering | Hashed (envägs kryptering) |
| Rekommendation | Undvik i produktionen | rekommenderas |
| Företräde | Lägre (om "Aktivera hemlighet" finns) | Högre |
Varför `Enable Secret 'är överlägsen:
Hashing ger en envägsfunktion. Du kan hash ett lösenord, men du kan inte enkelt ta bort det för att få det ursprungliga lösenordet. Detta skyddar lösenordet även om konfigurationsfilen komprometteras.
Viktiga överväganden:
* Starka lösenord: Oavsett vilket kommando du använder (även om du alltid bör använda "Aktivera hemlighet"), välj starka, komplexa lösenord.
* Lösenordskomplexitetspolicy: Implementera lösenordskomplexitetspolicy för att upprätthålla användningen av starka lösenord.
* AAA (autentisering, auktorisation och redovisning): För företagsmiljöer kan du överväga att använda AAA med en radie eller tacacs+ server för centraliserad användarhantering och autentisering. Detta är ännu säkrare och skalbart än lokala "Aktivera" lösenord.
* Secret 5: Cisco har en "Service Password-kryptering" som använder en svag krypteringsmetod (typ 7) för att "kryptera" alla lösenord i konfigurationsfilen. Det är bättre än ingenting, men det är fortfarande relativt enkelt att bryta. `Aktivera hemlighet 'är ett * mycket * bättre alternativ.
Avslutningsvis:
Använd alltid "Aktivera Secret" för att skydda din routers privilegierade EXEC -läge. Det ger en betydligt högre säkerhetsnivå än "Aktivera lösenord". För maximal säkerhet, använd AAA med en extern autentiseringsserver.
