在现如今的Internet环境里,过于简单的口令、密码是服务器的最大风险。尽管都知道要设置一个长且复杂的口令密码会更安全,但仍有部分用户图省事而采用简单、便于记忆的口令密码字串。对于任何一个肩负安全责任的管理员,需要及时找出这些弱口令账号,以便于采取更进一步的安全措施。
John the Ripper是一款开源的密码破解工具,能在已知密文的情况下快速分析出明文的密码字串,支持DES、MD5等多种加密算法,而且允许使用密码字典(含各种密码组合的列表文件)进行暴力破解。通过John the Ripper,可以检测Linux/UNIX系统中用户账号的密码强度,及时发现安全风险,采取相应措施。
-
以linux系统为例子,先创建一个账户
-
Linux系统 账户存放于etc/passwd,而Linux为了安全,一般将密码存储于/etc/shadow
Linux一般采用sha512算法加密密码
3…先将/etc/passwd文件和/etc/shadow文件合并成test.txt,然后通过john破解。
总结:因为我们设置的密码强度比较弱,所有破解的很快,在实际过程中,破解的速度会很慢,甚至可能无法破解。