|
◆ Cisco IOS - enable algorithm-typeコマンド
enable algorithm-typeコマンドは、強度の高いアルゴリズムを使用してパスワードを暗号化できます。
enable secretコマンドはMD5アルゴリズムによるパスワードの暗号化ですが、enable algorithm-type
コマンドでは、SHA-256(Type 8)または Scrypt(Type 9)アルゴリズムにより暗号化できます。
※ Cisco IOS XE Gibraltar 16.10.1 以降では、type指定をしないenable secretコマンドでもType 9に自動的に変換されます。
◆ enable algorithm-typeによるパスワード設定
(config)# enable algorithm-type [ md5 | scrypt | sha256 ] secret password
| コマンド |
タイプ |
説明 |
| md5 |
Type 5 |
ソフトウェアでType 6、8、9 が設定できない場合にのみ使用すべき暗号アルゴリズム
|
| scrypt |
Type 9 |
RFC7914で定義されているSCRYPTハッシュアルゴリズム
|
| sha256 |
Type 8 |
PBKDF2、SHA-256、80ビットソルト、20000回の反復を使用しハッシュされる暗号アルゴリズム
|
enable algorithm-typeコマンドを使用しても「md5」を指定した場合には、enable secretコマンドで
設定した時と同様にMD5による暗号アルゴリズムとなります。従ってenable algorithm-typeコマンドを
設定できる場合は、MD5を指定するのではなく「scrypt」または「sha256」を指定します。
◆ SCRYPTによる暗号アルゴリズムを使用したパスワード設定例
| Cisco(config) # enable algorithm-type scrypt secret Cisco1234 |
ローカル認証で使用するユーザアカウントとパスワードの設定コマンドでも「enable algorithm-type」を
指定することで、暗号化アルゴリズムを指定することができます。
◆ ユーザアカウントのenable algorithm-typeによるパスワード設定
(config)# username username algorithm-type [ md5 | scrypt | sha256 ] secret password
◆ ローカルユーザアカウントの設定例(ユーザごとに異なる暗号化アルゴリズムの指定)
Cisco(config) # username test01 algorithm-type sha256 secret Cisco1234
Cisco(config) # username test02 algorithm-type scrypt secret Cisco4567
|
※ Cisco IOS XEマニュアルでは「Type 9」の使用を推奨しています。
※ community.cisco.comでも「Type 9」を「 currently the Best Practice Type password
」と紹介されています。
※ National Security Agency | Cybersecurity Information Sheet では「Type 8」が「Recommended」と記載されています。
|