PBKDF2对氪星

Question

我正在配置一个新的3560交换机。运行IOS版本15.0(2)SE6。

当我要配置启用秘密时，我可以选择以下内容：

#enable secret ?
  0      Specifies an UNENCRYPTED password will follow
  5      Specifies a MD5 HASHED secret will follow
  8      Specifies a PBKDF2 HASHED secret will follow
  9      Specifies a SCRYPT HASHED secret will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' secret

我知道MD5散列是弱的，但是我想知道在PBKDF2和SCRYPT之间哪个更安全？

诚挚的问候,

Answer 1

简短的回答是，氪星有更多的保护来抵御野蛮的强迫，并且使用PBKDF2。然而，什么是最好的，最终取决于哪个实现是最安全的，最长的时间，只有时间才能知道。

思科支持论坛上的这个答案提供了一个全面的答案：

类型-8密码是类型-4的意思是: PBKDF2 (基于密码的密钥派生函数2)与20000次迭代SHA-256。虽然很好，但这仍然容易受到暴力的影响，因为SHA-256很容易在ASICS或显卡中快速实现。这并不是说它很容易，事实上，如果你选择好的密码，它几乎是不可能的，但它是可行的类型9: 9类型的密码使用了加密货币的人的氪星算法。它的整个目标是确保运行该算法是昂贵的。首先，它很难并行运行，并且需要进行权衡:要么使用大量内存，要么使用较快的内存，要么使用一点内存，然后慢慢来。这里的诀窍是ASICS和显卡没有足够的内存(内存BW)来快速运行，所以在实践中运行这个算法非常慢。另一件有趣的事情是，在算法is....Lots of PBKDF2中，所以在短消息中，将两者的优点结合起来。一句话:任何一种都比5‘型S安全得多，而且几乎无限安全，比可怕的破碎型4's更安全。