Primeiro, eu sei que isso é antigo, mas quero esclarecer o registro para a posteridade.
Você tem razão em estar muito preocupado, no entanto, nem a Cisco nem qualquer outro vendedor parece interessado em corrigir os problemas identificados. Ao usar o RADIUS (ou TACACS +) para autenticação, sua senha é criptografada usando a chave compartilhada que você configurou. Note que a chave compartilhada é armazenada como um tipo 7 na configuração, significando que qualquer um com a configuração pode quebrar o tipo 7 e recuperar a chave. Conecte a chave em wireshark e todas as suas senhas e PINs de dois fatores serão quebrados instantaneamente. Além disso, a criptografia usada pelo RADIUS e pelo TACACS + é baseada em hashes MD5 que são considerados muito inseguros, de modo que a força bruta forçando um segredo não está fora de questão.
Neste ponto, o melhor que você pode fazer é garantir que as teclas que você usa sejam muito strongs. Eu recomendaria usar algo como link e gerar chaves exclusivas com pelo menos 12 caracteres de comprimento, o que DEVERIA tornar brutal forçar as chaves impossíveis.
Além disso, certifique-se de que apenas indivíduos confiáveis tenham a configuração e possam ver o segredo compartilhado RADIUS ou TACACS +.
Em terceiro lugar, observe as novas versões do switch IOS no final deste ano para suportar um recurso chamado "Secure Reversible Passwords for AAA". Isso é atualmente suportado em códigos muito atrasados para roteadores ISR e criptografa com segurança a chave, eliminando parte dessa vulnerabilidade.
Por fim, reclame ALTAMENTE à Cisco e a outros fornecedores sobre esses problemas. Minhas soluções recomendadas são suporte universal para MSCHAPv2 que é quebrável (DES equivalente), mas ainda melhor do que texto claro e suporte para criptografia REAL, usando os algoritmos existentes PEAPv1-MSCHAPv2 e PEAPv1-GTC no lado do cliente, criação de STACACS + ( TACACS sobre SSL) ou implementação de DIÂMETRO.