A diferença entre `enable senha` e` Ativar Secret` em um roteador Cisco (e dispositivos similares) é como eles são armazenados e o nível de segurança que eles fornecem.

Aqui está um colapso:

`Ativar senha`

* armazenamento: Armazenado no arquivo de configuração em Text (ou minimamente obscurecido com uma criptografia fraca e quebrável, como a criptografia tipo 7 da Cisco).
* Segurança: Muito fraco . Qualquer pessoa com acesso ao arquivo de configuração (executando a configuração, configuração de inicialização ou mesmo um backup) pode ler facilmente a senha. A criptografia do tipo 7 é facilmente reversível usando ferramentas on -line ou scripts simples.
* Uso : Utilizado principalmente para equipamentos ou situações mais antigas em que a segurança não é uma preocupação primária (testando laboratórios, redes isoladas). é fortemente desencorajado para ambientes de produção.
* Exemplo:
`` `
Ativar senha mypassword
`` `

`Ativar secret`

* armazenamento: Armazenado no arquivo de configuração em um muito mais forte e unidirecional criptografado formato (geralmente md5 ou sha256). Isso significa que a senha em si nunca é diretamente visível na configuração. Embora tecnicamente o próprio hash seja visível, reverter um hash forte é inviável computacionalmente.
* Segurança: significativamente mais seguro do que `ativar a senha`. Mesmo que alguém obtenha o arquivo de configuração, não pode determinar facilmente a senha real.
* Uso : O recomendado Método para definir a senha do modo executivo privilegiado. Deve sempre ser usado em ambientes de produção.
* Precedência: Se os `Ativar senha` e` Atable Secret` estiverem configurados, a senha `Ativar Secret` terá precedência. O roteador solicitará a senha `Ativar Secret`.
* Exemplo:
`` `
Habilite o MySecretPassword secreto
`` `

As diferenças de chave resumidas:

| Recurso | `Ativar senha` | `Ativar secreto '|
| ---------------- | ------------------------------ | ------------------------------ |
| Criptografia | Fraco (ou nenhum) | Forte (md5 ou sha256) |
| Segurança | Baixo | Alto |
| Armazenamento | Texto simples ou criptografia fraca | Hashed (criptografia unidirecional) |
| Recomendação | Evite na produção | recomendado |
| Precedência | Mais baixo (se `habilable secret` existir) | Superior |

Por que `enable secret` é superior:

Hashing fornece uma função unidirecional. Você pode hash uma senha, mas não pode facilmente divulgá -la para obter a senha original. Isso protege a senha, mesmo que o arquivo de configuração esteja comprometido.

Considerações importantes:

* Senhas fortes: Independentemente do comando que você usa (embora você sempre deva usar `Ativar Secret`), escolha senhas fortes e complexas.
* Políticas de complexidade de senha: Implementar políticas de complexidade de senha para aplicar o uso de senhas fortes.
* aaa (autenticação, autorização e contabilidade): Para ambientes corporativos, considere o uso de AAA com um servidor RADIUS ou TACACS+ para gerenciamento e autenticação centralizados do usuário. Isso é ainda mais seguro e escalável do que as senhas locais `ativas '.
* segredo 5: A Cisco possui uma "criptografia de senha de serviço" que usa um método de criptografia fraco (tipo 7) para "criptografar" todas as senhas no arquivo de configuração. É melhor do que nada, mas ainda é relativamente fácil de quebrar. `Enable Secret` é uma alternativa * muito melhor.

em conclusão:

Sempre use `Ativar Secret` para proteger o modo Exec privilegiado do seu roteador. Ele fornece um nível de segurança significativamente mais alto do que o `Ativar senha '. Para segurança máxima, use AAA com um servidor de autenticação externo.