Python密码暴力攻击前导

0

本篇概要

  • 密码攻击测试
  • 密码攻击测试的方法
  • 密码和账户策略

1

密码攻击测试是怎么进行的

密码攻击可能是暴力破解中最常见的一种类型,广泛的被使用在渗透测试的各个领域,比如Web应用、WiFi密码破解等。密码攻击又称为口令攻击,只要攻击者获得了用户的密码口令,就能够获取用户所拥有的所有权限。而密码攻击的一个主要方式就是字典攻击,通常在通过网站的扫描探测器扫描到了网站的后台目录,就可以使用字典进行密码测试了。

至于为什么使用字典进行密码攻击,当然,是因为很多用户选择设置弱口令密码来方便记忆;网站越来越多,需要注册的也越来越多,为了方便记忆,很多人为了省事,直接就使用什么“123456”、“qq123456789”、“zxs5201314”之类的密码,或者使用生日作为自己的密码。这样的密码方便是方便了,就是有点不安全。

通过字典进行的密码攻击,使用的字典文件通常是基于常用的英语单词、汉语拼音、数字和数字谐音来构建,以及基于上述的密码类型进行变形的字符、单词、数字等;

2

密码攻击测试的几种方法

基于字典的密码攻击虽然是直接依赖字典,但也有一些策略可循

  • 垂直扫描,对一个用户名进行所有的密码测试; 根据一个获取到的用户名,应用于字典中的所有密码口令;
  • 水平扫描:对多个用户名进行常见的密码测试; 对获取到的一批用户名,使用最常见的弱口令进行测试,比如“123456”。
  • 对角线扫描:对不用的用户名和不用的密码进行遍历密码测试; 对所有的用户名进行字典中所有的密码的测试,这个通过遍历来实现。
  • 三维扫描:使用上述三种扫描方式结合分布式的代理IP进行密码测试;
  • 四维扫描:基于上述四种方式,再设置时间间隔延迟进行扫描;

3

一些密码和账户策略

密码的设置规则,定义了密码质量的底线;

  • 密码长度 禁止短密码的设置;
  • 区分大小写:将大小写字母进行组合;
  • 允许多种字符:字母、符号、数字等 大写字母、小写字母、特殊符号加数字的组合;
  • 禁止重用:重设密码时禁止使用曾经使用过的密码; 对过去使用过的密码,拒绝在重设密码的使用;
  • 设置密码黑名单:禁止使用黑名单中的密码,比如123456,5201314等;

一些账户的策略,则能够有效提高账户安全:

  • 定期进行密码修改; 设置一个固定的时间间隔,当超过这个时间间隔,提醒用户修改密码;
  • 密码错误一定次数之后进行锁定; 现在很多站点已经添加了这个策略,在输入密码错误一定次数之后,将账户锁定一定的时间。

下一篇,我们将使用Python创建一个密码暴力攻击器,敬请期待!

PS:点击“阅读原文”依然是博客链接,欢迎来踩!

原文发布于微信公众号 - 州的先生(zmister2016)

原文发表时间:2017-11-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏嵌入式程序猿

巧用SDK,帮你减少开发时间

已经介绍过很多次NXP的SDK在开发中的应用,但多是基于KV系列和K系列的芯片,最近一个小项目用的是Kinetis KE02系列,该系列已经在SDK中支持,如...

581
来自专栏陈满iOS

iOS下载报错:App Transport Security has blocked a cleartext HTTP

以上方法虽然解决了HTTP不能正常使用的问题,但是苹果提供的安全保障也被关闭了,对于不支持HTTPS协议的网站,可以考虑白名单:

2384
来自专栏逸鹏说道

熔断器设计模式

如果大家有印象的话,尤其是夏天,如果家里用电负载过大,比如开了很多家用电器,就会”自动跳闸”,此时电路就会断开。在以前更古老的一种方式是”保险丝”,当负载过大,...

2665
来自专栏一名叫大蕉的程序员

BFS究竟实现到啥程度了?No.67

BFS,全称 BigBanana File System ,大蕉文件系统。是大蕉同学希望通过自己实现一个分布式文件系统练练手,看看是不是能写出一个真正能跑起来的...

1857
来自专栏Linux驱动

13.Linux键盘按键驱动 (详解)

在上一节分析输入子系统内的intput_handler软件处理部分后,接下来我们开始写input_dev驱动 本节目标:        实现键盘驱动,让开发板的...

2395
来自专栏IT笔记

Nginx学习之如何搭建文件防盗链服务

大家都知道现在很多站点下载资料都是要收费的,无论是积分还是金币,想免费只能说很少很少了,那么这些网站是如何做到资源防盗链的呢?

581
来自专栏有趣的Python

最新Django2.0.1在线教育零基础到上线教程(五)1-3

演示地址: http://mxonline.mtianyan.cn 教程仓库地址1: https://github.com/mtianyan/DjangoGe...

5196
来自专栏蜉蝣禅修之道

openipmp安装

1763
来自专栏Spark学习技巧

Hbase源码系列之源码前奏hbase:meta表相关详细介绍

一,基本功能介绍 -root-表在HBase 0.9.6以后的版本被移除了。 Hbase 0.9.6以前,三个重要信息: 1,-root-表的位置存储在Zook...

39510
来自专栏格子的个人博客

Mysql 8.0.12压缩包安装教程

以前都是解压缩安装5.7版本的mysql,刚好最近换了电脑需要重装mysql,就去官网下载了新版本8.0.12,整理一下安装步骤。一来备忘,二来如果刚好也能给需...

1332

扫码关注云+社区