密码强度的测试要领
发布时间:05/17 来源:未知 浏览:
关键词:
在多数状况下,袭击者必须具备很高 访问权限(如治理员admin权限或root权限),从而才能得到响应的哈希值;要是他们成功获得哈希值,那么他们能在其他方面给挨害者带来更多的毁坏。那么,为何我们只计议密码破解呢? 除此以外,在Windows操纵系统的领域里,长途袭击者必须获得盘算机的当地治理员访问权限和还要能访问NetBIOS,但是这些行为往往被外围防火墙阻止了。只管人们普遍悲观,但是在今天的技术前提下,袭击者脱离了网络不可能嗅探得到Windows系统登录密码的哈希值。
另外,要是袭击者得到了密码的哈希值,他或她还可以进行“哈希值通报”袭击("pass-the-hash" attack),这就省去了在第一工夫对该哈希值进行转换的工作。 也许在10年前,一个复杂的、6至8个字符的密码就已经足够保证会员的平安需要了,但放在今天确定不行,所以不要草率的以为本人当前的密码很平安。我(指这篇专栏文章的作者)细心查看过的大多数Linux/Unix操纵系统都没有供给响应的帐户锁定机制。而对Windows操纵系统来说,真正的治理员(Administrator)帐户是不能被锁定的,一些软件程序也不会记载帐户锁定机制。很多企业还都禁用了其帐户锁定机制,以防止能够主动运转的蠕虫(如Conficker蠕虫)锁定所有会员的帐户,从而以免造成的间接袭击事件。
此外,大多数公司仍缺乏足够充分的审计制度,不能有效的提示治理员系统涌现的屡次失败登录尝试,即使该登录系统的人数超过数十万。因而,长途袭击者可以通过列举出系统所有的外部访问点(如可以访问Web的Outlook、终端服务器、SharePoint、FTP、SSH、RDP、Telnet等等),从而对治理员帐户密码进行推测,直到密码被破解为止。
只管如此,要是没有对系统上的这些软件进行密码渗入测试,我很难向客户证实仅有6至8个字符的密码是多么容易被破解。我很喜好进行这样的渗入测试(平常状况下,我用三天的工夫就可以破解大局部的密码),但与客户签署的合同常通例定制止我这么去做。因而,我决议做一件好事,新建一个基于电子表格的盘算器,在这个盘算器中你可以输入本人当前的密码战略,从而晓得你的密码在一定的工夫段内可能会面临多少次来自袭击者的密码推测。你可以从这里下载该电子表格。 破解公开密码 据我所知,这是当前独一一个显示实际天下密码推测袭击成功率的盘算器。平常状况下,密码真正的保密强度来自于几个方面的,包括该密码的长度、密码所包含的字符或符号(统称为字符集)数,以及字符选中的随机性。要是你想晓得在长度和字符集肯定的前提下可能的密码数量,那么只需要盘算该字符集字符数量的密码长度次幂(字符^长度)。
这将给你所有可能的密码选中或者说密码空间。 然而,这一理论上的数量只是让会员晓得本人可能选中的所有密码(称为完善随机,perfect randomization)。要是要生成所有的密码,所需要相当疼痛的努力,除非具有一个非常好的会员密码随机生成器。大多数会员选中的密码往往包含几个局部,其中就包括以他们所运用的说话表示的文字和名字。事实上,对大多数会员而言,即便武艺个别的袭击者也可以通过密码推测,以非常不错的精度推测出其密码的各个局部来。
大多数专业的采纳密码推测办法的袭击者都晓得存在百分之五十的时机,一个会员的密码将包含一个或多个元音(vowels)字符。要是密码含有一个数字,则平常会是1或者2,而且往往会放在密码的结尾。要是密码包含一个大写字母,平常会放在密码的开端处,之后再跟一个元音(vowels)字符。个别人常用的词汇在5万到15万个之间,这些词汇有可能会被用在密码中。女性往往在密码中运用本人的名字,而男性平常会选中本人的业余喜爱,“Tigergolf”并非只是企业的CEO们才会想到的词汇。即便你在你的密码中运用了一个符号,袭击者也晓得最可能来自下列这些状况: ? , ! , @ , # , $ , % , & ,和 ?。
上一页12 下一页 浏览全文
热门标签:dede模板 / destoon模板 / dedecms模版 / 织梦模板
责任编辑:8x3Ic
