Cisco hat eine Sicherheitsmeldung veröffentlicht, in der es bekannt gibt, die Implementierung des Algorithmus zum Passwort-Hashen falsch programmiert zu haben. Der Algorithmus sollte einen 80 Bit Saltwert und 1000 Iterationen durch SHA256 haben, stattdessen hat er überhaupt keinen Saltwert und nur eine SHA 256 Iteration.

Der neue Algorithmus heißt Type 4 und sollte eigentlich stärker sein als Type 5 und Type 7. Ziel war es, die Sicherheit verschlüsselter Passwörter gegen Brute-Force-Attacken zu verbessern. Cisco sagt, es handle sich um eine Umsetzungsproblematik.

Das Problem wurde von Philipp Schmidt und Jens Steube vom Hashcat Projekt entdeckt. Hashcat ist ein Programm zur Wiederherstellung von Passwörtern. Wegen des schwachen Schutzes waren sie in der Lage einen Hash zu entschlüsseln, der auf inetpro.org gepostet worden war.

Zusätzlich hat die Durchführung von Type 4 den besser funktionierenden Type 5 ersetzt, so dass dieser nicht mehr anwendbar ist.

Cisco verspricht, dass ein neuer Passwordtypus bald eingerichtet wird. Dieser wird Cisco-Kunden Schritt für Schritt ermöglichen, zu diesem zu wechseln.

Artikel von computerworld.com, 20.03.2013: Cisco inadvertently weakens password encryption in its IOS operating system
Artikel von theregister.co.uk, 20.03.2013: Cisco slip puts hardware at risk