8.1. 识别强密码
识别强密码
密码是世界上最广泛使用的身份验证形式,因而是攻击的主要目标之一。在计算机系统,银行账户、自动取款机等均使用了用户名和密码。对一个渗透测试人员而言,破解密码的能力是一项必备技能,因为它是一种有效的获取系统访问权的方式。
破解密码的方法千变万化,意味着选择也多种多样。可以利用从社会工程到存储缺陷再到安全性低的身份验证服务等手段破解密码。为了帮助更好地理解破解过程,在此首先分析一个强密码的特征。密码应当易于记忆,并且难以被猜到或破解。虽然这两个目标看似自相矛盾,但实际上是相辅相成的。然而,有一个问题是,许多人在寻找“完美”的密码时,会选择一些容易记忆但是也容易猜到的密码。
下面是一些容易被破解的密码的例子。
包含字母、特殊字符和数字的密码:stud@52
只包含数字的密码:123456789
只包含特殊字符的密码:&*#@!(%)
包含字母和数字的密码: meet123
只包含大写或小写的密码: POTHMYDE
只包含字母和特殊字符的密码:rex@&ba
只包含特殊字符和数字的密码:123@$4
含有11个或更少字符的密码