【精选】弱口令介绍及破解方式

【精选】弱口令介绍及破解方式一、弱口令的定义
仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用

一、弱口令的定义

不建议使用仅包含简单数字和字母的密码,例如“123”或“abc”,因为它们很容易被其他人破解,并使您的计算机面临风险。

二、弱口令的特点

1.连续字符串(aaaa、abc等)

2. 数字

该号码通常包含个人信息,例如您的出生日期或身份证号码的某些数字。

3. 重复字符串+数字+字符串。

三、安全口令的要求(有效防止弱口令)

1. 不要使用空白密码或系统默认密码。这是因为这些密码是众所周知的并且通常是弱密码。

2. 密码长度必须至少为8个字符。

3. 密码不得为连续字符(例如AAAAAAAA)或重复字符的组合(例如tzf.tzf.)。

4. 密码必须是大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符四种字符的组合。每种类型至少包含一个字符。如果特定类型的字符仅包含一个字符,则该字符不能是第一个或最后一个字符。

5. 密码中请勿包含您的姓名、出生日期、周年纪念日、登录名、电子邮件地址、有关您自己、父母、子女、配偶、字典中列出的单词等信息。

6. 密码不得为某些字符被数字或符号替代的文字。

7. 密码应易于记忆和输入,以便其他人无法轻易看到您在后面输入的内容。

8. 至少每90 天更改一次密码,以防止未被发现的入侵者继续使用您的密码。

四、暴力破解

1、定义

暴力破解是一种逐一猜测密码直到找到真正密码的方法。例如,已知长度为4 位且仅由数字组成的密码总共可以有10,000 种组合,因此可能需要最多10,000 次尝试才能找到正确的密码。如果遇到人为设置密码的场景(非随机密码,人为设置的密码有规律可循),使用密码字典(如彩虹表)可以找出频繁出现的密码,大大减少破解的机会。时间。

2、暴力破解的方法

1)穷举法

穷举技术是指生成一整套可能的密码,并根据输入密码的设定长度和所选字符集进行批量搜索。例如,已知长度为4 位且仅由数字组成的密码总共可以有10,000 种组合,因此可能需要最多10,000 次尝试才能找到正确的密码。理论上,您可以使用此方法破解任何密码,但随着密码变得更加复杂,破解密码所需的时间呈指数级增长。

穷举法适用于猜测诸如随机生成的短信验证码之类的事情,因为不同的随机生成的密码出现的概率相同,并且不受人类记忆的影响。

2)字典式攻击

在字典攻击中,最常出现的密码存储在一个文件中,这个文件就是一个字典,攻击时使用字典中的密码来猜测解。

字典攻击适合猜测人为设置的密码,因为人为设置的密码受人为便利性的影响,不同的密码出现的概率不同。因为12345678和password会被用作密码的概率远高于fghtsaer被用作密码的概率。作为密码。与穷举方法相比,字典攻击的命中率较低,但节省更多时间。

3)彩虹表攻击

彩虹表攻击也是一种字典攻击,但它是一种高效破译哈希算法(MD5、SHA1、SHA256/512等)的攻击方法。

为了提高安全性,网站不会将用户的密码直接存储在数据库中,而是将其散列成无意义的长字符串。这种哈希算法是不可逆的,并且没有算法可以解密它。恢复为原始密码。当面对散列密码时,有两种方法可以破解它们。一种是使用穷举方法,将所有可能的密码组合起来,通过哈希加密算法进行计算,并将结果与目标哈希值进行比较,但需要进行侧面计算。第二种方法预先生成候选密码与其对应的哈希字符串的对照表,但该对照表需要14位字母和数字密码,需要占用大量的磁盘空间。例如,生成的密码是32。位哈希串查找表占用5.710^14 TB的存储空间。

彩虹表是一种时空折衷技术,它使用R函数将明文计算出的哈希值映射到明文空间,交替计算明文和哈希值,并生成并存储哈希链。该表的开头和结尾在使用时被删除并临时计算。因此,存储容量相比原表减少了一半,计算量并没有明显增加。哈希链的计算过程中引入了不同的R函数,不同的R函数用不同的颜色表示,因此大量的哈希链看起来就像一条彩虹,因此被称为彩虹表。

当使用彩虹表破解时,即使是普通PC 也能达到每秒超过1000 亿次的令人难以置信的速度。为了提高安全性,可以像MD5和MD5一样对其进行多次哈希处理,或者在原始密码前后添加字符串以增加哈希前密码的长度。所有这些算法的结果都可以添加到彩虹表中。最全的彩虹表可以破解目前互联网上几乎99.9%的密码。

五、容易被暴力破解的口令

许多人创建的密码过于简单,使用电话号码、出生日期、亲人或宠物的名字,或者在不同的网站上使用相同的密码,这使得它们很容易被破解。

2020 年底,NordPass 公布了2020 年最常用的200 个密码。最上面的密码有123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、4.纯数字加各种数字和字母的组合,如qwerty、abc123、picture1等。也是。

虽然暴力破解不会造成直接危害,但攻击者可以通过暴力破解获取系统/用户帐号和密码,进行后续渗透。对于个人而言,如果直接从用户处窃取资金或个人信息被盗,身份盗窃可能会导致进一步的经济损失。对于企业来说,可以通过暴力破解的方式登录Telnet、POP3、MySQL服务,成功登录可能会导致用户信息泄露、文件共享、邮件泄密、邮件传输失败等高危事件发生。

六、如何防止用户的密码被暴力破解

1、应用层面

登录时设置帐户锁定。示例:如果您不断输入错误的密码,则需要一段时间才能输入下一个密码。标识您登录的设备。如果是可信设备,则需要进行用户认证。

2、用户层面

使用更复杂的密码,例如包含大小写字母、数字和特殊字符的密码。请定期更改您的密码。

七、总结

在破解弱密码方面,暴力破解技术对简单密码有“奇效”,但对于常规密码来说,暴力破解技术需要在字典攻击上付出很大的努力,而破解弱密码相比之下字典可以存储相关的弱密码。暴力破解密码。强制法这种方法命中率稍低(丢失)但节省存储空间(较好);彩虹表攻击是一种使用哈希算法解密加密密码的方法,成本很高。

最后

接下来我们将为每个同学划分学习计划!

学习计划

那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?

既然你诚实地问了,我就告诉你你需要从头开始学习什么。

阶段一:初级网络安全工程师

接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到与网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等。其中,如果学好级保证模块,就可以从事级保证工程师的工作。

总体薪资范围6,000-15,000

1.网络安全理论知识(2天)

了解行业背景和前景,决定发展方向。

学习有关网络安全的法律法规。

网络安全运营理念。

等保制度介绍、等保法规、流程、规范。 (很重要)

2.渗透测试基础知识(1周)

渗透测试程序、分类和标准

信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking

漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察

主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。

3.操作系统基础知识(1周)

Windows系统常用功能及命令

Kali Linux系统常用功能及命令

操作系统安全(系统入侵调查/系统加固基础设施)

4.计算机网络基础(1周)

计算机网络基础、协议和体系结构

网络通信原理、OSI模型、数据传输流程

常用协议分析(HTTP、TCP/IP、ARP等)

网络攻击技术和网络安全防御技术

Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5.数据库基础操作(2天)

数据库基础

SQL语言基础

加强数据库安全

6. 网络渗透(1周)

HTML、CSS 和JavaScript 简介

OWASP前10名

Web漏洞扫描工具

Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chop Knife、Miss Scan等)

所以到现在为止已经过去了大约一个月的时间。你已经成功成为“脚本小子”了。那么,你还想继续探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

薪资水平:15,000 至30,000 日元

7.脚本编程学习(4周)

在网络安全领域。编程能力是“脚本小子”和真正的网络安全工程师之间的关键区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用的工具不能满足实际需求时,往往需要扩展现有工具或者可能需要创建工具或自动化脚本来满足要求。需要特定的编程技能。在分秒必争的CTF比赛中,需要具备一定的编程能力,才能有效地利用自制的脚本工具来实现各种目标。

对于从零开始的学生,我们建议选择一种脚本语言:Python/PHP/Go/Java,并学习常用库的编程。

设置您的开发环境并选择您的IDE。 PHP 环境推荐Wamp 和XAMPP,IDE 强烈推荐Sublime。

学习Python编程,包括语法、正则、文件、网络、多线程等常用库。推荐《Python核心编程》,不需要全部看完。

使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。

学习基本的PHP 语法并创建一个简单的博客系统

熟悉MVC 架构并尝试学习PHP 或Python 框架(可选)。

了解引导布局或CSS。

阶段三:顶级网络安全工程师

如果您对网络安全入门感兴趣,点击这里领取您的CSDN礼包:《黑客网络安全入门进阶学习资源包》 免费分享

学习资料分享

当然,只提供计划而不提供学习材料,无异于流氓行为。这是网络安全(Heyke)的完整版本。如有需要,全套学习资料已上传至CSDN官方。您也可以点击下方链接,扫描下方微信2V码,获取网络工程师完整资料【完全免费保证】

如果你对网络安全入门感兴趣,那么你点击这里CSDN大礼包:《黑客网络安全入门进阶学习资源包》免费分享

#【精挑细选】以上介绍弱密码以及如何破解的相关内容仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92379.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月26日 下午11:34
下一篇 2024年6月26日 下午11:34

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注