演示設定密碼長度限制密碼加強

演示：設定密碼長度限制、密碼加強

為相關的線路訪問設定密碼可以加強密訪問的安全，而密碼字串本身的安全也是一件非常重要的事情，以下建議為設定密碼的最佳實踐： n

限定密碼字串的長度，字元數越多，猜測密碼所需要的時間越長。

n建議使用混合字元，比如：大小寫字母、數字、空格和其它符號，密碼字串的組合越複雜，***者猜中密碼的可能性就越小。

n不要使用密碼字典中的單詞。

n需要經常變更密碼。

演示目標：要求配置路由器的密碼安全策略。

演示環境：任意一台思科的路由器或者交換機。

演示背景：要求為思科的路由器或者交換機配置密碼安全策略，當使用者為網路裝置配置任何密碼時，要求最少需要８個字串符，並對密碼字串的內容進行加密。

演示步驟：

第一步：在沒配置密碼安全策略時，可以通過show running-config指令檢視當前執行的配置檔案，如下

圖10.39所示，

可清晰的看出沒有啟動加密密碼的功能，所以enable使用者的密碼字串的內容清晰可見，而且只有４個字串的長度，這不能達到建議的密碼長度（至少８位）。

第二步：現在使用如下配置訂製密碼的安全策略，要求使用者在配置任何密碼字串時，至少需要８個字元的長度，並按要求對密碼字串的內容進行加密，具體配置如下所示：

r1(config)#security passwords min-length 8

*　設定密碼的最小長度。

r1(config)#service password-encryption

*　設定加密密碼字串。

當完成上述配置後，此時在路由器上使用enable password ccie來為enable使用者設定密碼，會出現如下圖10.40的提示，配置的密碼無效，因為目前所配置的密碼長度只佔４個字串的長度，不滿足上面所要求的密碼安全策略。

現在使用指令enable password ccie123w完成對enable使用者密碼的配置，這次能夠成功將密碼完成配置，因為它已經滿足策略的要求。

現在可以通過show running-config指令再檢視當前執行的配置檔案，如下

圖10.41所示，

加密密碼的功能也被啟動，也可以看出密碼字串的內容已經被加密不再以明文的形式顯示在配置檔案中。這裡需要注意：

servicepassword-encryption

它是使用vigenere加密演算法來完成的，事實上，這種加密方式比較脆弱，現在網路上很多軟體都提供了破解這種加密的軟體，它沒有enable secret ccie123w的５型密碼（不可被恢復）安全。

演示 設定密碼長度限制 密碼加強