弱口令验证方案设计

最新推荐文章于 2023-04-24 22:57:41 发布
最新推荐文章于 2023-04-24 22:57:41 发布
阅读量685 收藏 5
点赞数
分类专栏: 弱口令验证算法 文章标签: 弱口令 弱密码 键盘输入规则

1.1    弱口令设计思路

1.1.1    基本校验

弱口令的基本校验包括:口令字符串长度校验、口令字符串包含的字符类型校验、口令字符串包含的不同字符数校验。

口令字符串长度校验:验证口令字符串的长度不能低于规定值(如6)。

口令字符串包含的字符类型校验:把字符类型分为大写字母、小写字母、数组、特殊字符四类,校验口令字符串包含的字符类型不能低于规定值(如2)。

口令字符串包含的不同字符数校验:不区分大、小写时aA算同一字符,区分大、小写时aA为不同字符。校验口令字符串中包含的不同字符数不能低于规定值(如4)。

1.1.2    高级校验

弱口令的高级校验包括:连续字符校验、键盘输入规则校验、弱口令字典校验。

连续字符校验:校验口令字符串中连续字符组成的子串长度不但能高于规定的值(如40%)。

键盘输入规则校验:详细见2.1.3

弱口令字典校验:在弱口令字典中校验该口令字符串是否为弱口令。

1.1.3    键盘输入规则校验

结合笔记本电脑和台式电脑键盘的布局规则,将字符输入键映射为4*10的二维数组矩阵(1-0q-pa-;,z-?),把密码字符串中每各字符格式化为键盘矩阵中对应的坐标,判断连续字符的坐标是否相邻,并记录连续相邻的串长度进行安全性评估

1.2    我的弱口令校验工具

1.2.1  详细验证步骤说明

1:判断密码是否为null或空,如果不是进入下一步,否则返回结果(密码安全性不符合)

2:判断密码字符串长度是否符合要求,默认是大于等于6位,如果是进入下一步,否则返回结果(密码安全性不符合)

3:循环取出密码串中从0位置到长度下限++的子串,进行下面48的操作并记录结果到一个double[]

4:评估密码中包含的字符类型是否符合要求,如果低于下限返回0,否则返回6-10double

5:评估密码至少包含的不同字符数(不区分大、小写),返回int,如果字符数小于下限返回0,否则返回6-10double

6:评估密码字符串是否包含a-z,z-a这样的连续字符,返回一个double,如果连续字符占整个串长度的40%以上返回0,否则返回(1-连续字符占整个串长度的百分比) * 10

7:评估密码字符串是否匹配键盘输入习惯,返回0-10的整数,值越大表示越不符合键盘输入习惯

8:根据3456的评估结果综合评估出密码的安全评估值(0-10double

9:循环3double[]的值,如果全是0返回0,否则从第一个不是0的位置开始累加,如果后一个位置为0则加长度修正值1,如果累加结果大于10,循环结束返回10

10:判断7产生的安全评估值是否大于安全评估值的下限(默认7),是返回true,否则返回false

1.2.2  Java实现类 

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.log4j.Logger;

/**
 * <strong>Title : CheckPWD</strong><br>
 * <strong>Description : 密码强度验证</strong><br>
 * <strong>Create on : Dec 6, 2011 7:34:45 PM</strong><br>
 * @author liulang@mochasoft.com.cn<br>
 * @version v1.0<br>
 * <br>
 * 详细验证步骤说明:<br>
 * 1:判断密码是否为null或空,如果不是进入下一步,否则返回结果(密码安全性不符合)<br>
 * 2:判断密码字符串长度是否符合要求,默认是大于等于6位,如果是进入下一步,否则返回结果(密码安全性不符合)<br>
 * 3:循环取出密码串中从0位置到长度下限++的子串,进行下面4到8的操作并记录结果到一个double[]中
 * 4:评估密码中包含的字符类型是否符合要求,如果低于下限返回0,否则返回6-10的double<br>
 * 5:评估密码至少包含的不同字符数(不区分大、小写),返回int,如果字符数小于下限返回0,否则返回6-10的double<br>
 * 6:评估密码字符串是否包含a-z,z-a这样的连续字符,返回一个double,如果连续字符占整个串长度的40%以上返回0,否则返回(1-连续字符占整个串长度的百分比) * 10<br>
 * 7:评估密码字符串是否匹配键盘输入习惯,返回0-10的整数,值越大表示越不符合键盘输入习惯<br>
 * 8:根据3、4、5、6的评估结果综合评估出密码的安全评估值(0-10的double)<br>
 * 9:循环3中double[]的值,如果全是0返回0,否则从第一个不是0的位置开始累加,如果后一个位置为0则加长度修正值1,如果累加结果大于10,循环结束返回10<br>
 * 9:判断7产生的安全评估值是否大于安全评估值的下限(默认7),是返回true,否则返回false
 * <br>
 * <strong>修改历史:</strong><br>
 * 修改人-------------修改日期-------------修改描述<br>
 * --------------------------------------------<br>
 * liulang-----------2011/12/7---------<br>
 * &nbsp;&nbsp;1:增加容错处理;<br>
 * &nbsp;&nbsp;2:修改键盘输入习惯匹配评估算法的逻辑;<br>
 * &nbsp;&nbsp;3:增加一个更加严格的键盘习惯匹配算法maches2(可匹配类似1z2x3c4v5b这样的特殊字符串)<br>
 * <br>
 */
public final class CheckPWD {
	private static Logger logger = Logger.getLogger(CheckPWD.class);
	
	/**
	 * 安全密码评估值的下限,取值范围:0-10,默认:7
	 */
	public static double PASSWORD_STRONG = 7;
	
	/**
	 * 密码字符串包含的字符类型(a-z,A-Z,0-9,特殊字符)在密码安全性评估中所占比例,默认:0.15
	 */
	public static double CHAR_TYPE_NUM_THRESHOLD = 0.15;
	
	/**
	 * 密码字符串包含的不同字符数(不区分大、小写,同一键位的视为同一字符)在密码安全性评估中所占比例,默认:0.35
	 */
	public static double MIN_CONTAIN_CHAR_NUM_THRESHOLD = 0.35;
	
	/**
	 * 密码字符串匹配键盘输入习惯在密码安全性评估中所占比例,默认:0.3
	 */
	public static double KEYSET_MATCHER_THRESHOLD = 0.3;
	
	/**
	 * 评估密码字符串中a-z,z-a这样的连续字符在密码安全性评估中所占比例,默认:0.2
	 */
	public static double SEQUENTIAL_CHARS_THRESHOLD = 0.2;
	
	/**
	 * 键盘输入习惯匹配规则严格模式
	 */
	public static int KEYSET_MATCHER_STRICT_MODE = 1;
	
	/**
	 * 键盘输入习惯匹配规则不严格模式
	 */
	public static int KEYSET_MATCHER_UNDEMANDING_MODE = 0;
	
	/**
	 * 密码最小长度,默认为6
	 */
	private static int MIN_LENGTH = 6;
	
	/**
	 * 密码至少包含的不同字符数(不区分大、小写),(例如:"aaa"包含一个字符,"aba"包含2个字符,"aA"包含1个字符等),默认为4
	 */
	private static int MIN_CONTAIN_CHAR_NUM = 4;
	
	/**
	 * 密码至少包含的字符类型数(a-z,A-Z,0-9,特殊字符),默认为2
	 */
	private static int MIN_CHAR_TYPE_NUM = 2;
	
	/**
	 * 中等强度密码键盘规则匹配严格度,默认0.6
	 */
	private static double THRESHOLD_MEDIUM = 0.6;
	
	/**
	 * 高安全度密码键盘规则匹配严格度,默认0.4
	 */
	private static double THRESHOLD_STRONG = 0.4;
	
	/**
	 * 高安全度密码键盘规则匹配严格度,默认0.4
	 */
	private static double MAX_SEQUENTIAL_CHARS_THRESHOLD = 0.4;
	
	/**
	 * 字母顺序A-Z
	 */
	private static String A_Z = "abcdefghijklmnopqrstuvwxyz";
	
	/**
	 * 字母顺序Z-A
	 */
	private static String Z_A = "zyxwvutsrqponmlkjihgfedcba";
	
	/**
	 * shift键产生的字符与非shift键时对应的字符
	 */
	private static Map CONVERSION_MAP =  new HashMap();
	
	/**
	 * 将键盘按键格式话为4*10的矩阵的坐标
	 */
	private static Map DICTIONARY_MAP = new HashMap();
	private static String[] dictionary1 = "1 2 3 4 5 6 7 8 9 0".split("\\s+");
	private static String[] dictionary2 = "q w e r t y u i o p".split("\\s+");
	private static String[] dictionary3 = "a s d f g h j k l ;".split("\\s+");
	private static String[] dictionary4 = "z x c v b n m , . /".split("\\s+");
	private static String[][] DICTIONARY_MATRIX = {dictionary1, dictionary2, dictionary3, dictionary4};
	
	static {	
		CONVERSION_MAP.put("!", "1");
		CONVERSION_MAP.put("@", "2");
		CONVERSION_MAP.put("#", "3");
		CONVERSION_MAP.put("$", "4");
		CONVERSION_MAP.put("%", "5");
		CONVERSION_MAP.put("^", "6");
		CONVERSION_MAP.put("&", "7");
		CONVERSION_MAP.put("*", "8");
		CONVERSION_MAP.put("(", "9");
		CONVERSION_MAP.put(")", "0");
		CONVERSION_MAP.put(":", ";");
		CONVERSION_MAP.put("<", ",");
		CONVERSION_MAP.put(">", ".");
		CONVERSION_MAP.put("?", "/");
		
		for(int i=0, ln=DICTIONARY_MATRIX.length; i<ln; i++) {
			String[] dic = DICTIONARY_MATRIX[i];
			for(int j=0, lnt=dic.length; j<lnt; j++) {
				int[] row_cell = {i,j};
				DICTIONARY_MAP.put(dic[j], row_cell);
			}
		}
	}
	
	private CheckPWD(){
		
	}
	
	/**
	 * 严格的键盘输入习惯匹配规则,匹配连续或者非连续的(可以匹配:1a2s3d4f5g这样的有规律的串),比matches方法的匹配规则更严格
	 * @param matcherList
	 * @param row_cellList
	 * @param index
	 */
	private static void maches2(List matcherList, List row_cellList, int index) {
		for(; index<row_cellList.size(); index++) {
			int[] row_cell_t = (int[]) row_cellList.get(index);
			if(row_cell_t != null) {
				boolean flag = true;
				for(int i=0; i<matcherList.size(); i++) {
					List list = (List) matcherList.get(i);
					for(int j=0; j<list.size(); j++) {
						int[] row_cell = (int[]) list.get(j);
						if(((Math.abs(row_cell_t[0] - row_cell[0]) <= 1) && (Math.abs(row_cell_t[1] - row_cell[1]) <= 1))) {
							list.add(row_cell_t);
							flag = false;
							break;
						}
					}
					if(!flag) break;
				}
				if(flag) {
					List arrt = new ArrayList();
					arrt.add(row_cell_t);
					matcherList.add(arrt);
				}
			}
		}
	}
	
	/**
	 * 键盘输入习惯匹配规则,匹配连续输入(不能匹配:1a2s3d4f5g这样的有规律的串),比maches2方法的匹配规则宽松
	 * @param matcherList
	 * @param row_cellList
	 * @param index
	 */
	private static void matches(List matcherList, List row_cellList, int index) {
		for(int i=0; i<matcherList.size(); i++) {
			List list = (List) matcherList.get(i);
			for(int ln=row_cellList.size(); index<ln; index++) {
				int[] row_cell = (int[]) list.get(list.size()-1);
				int[] row_cell_t = (int[]) row_cellList.get(index);
				//如果相邻的键盘字符(某一个键的左右、上下、斜向相邻)被连续输入,在原匹配链条上增加新的输入
				if((row_cell != null) && (row_cell_t != null) && 
						((Math.abs(row_cell_t[0] - row_cell[0]) <= 1) && (Math.abs(row_cell_t[1] - row_cell[1]) <= 1))) {
					list.add(row_cell_t);
				}else {	//如果新字符和上一匹配链条的结尾字符距离较远,这结束上一匹配链条,以该字符为首增加新的匹配链条
					List arrt = new ArrayList();
					arrt.add(row_cell_t);
					matcherList.add(arrt);
					index++;
					break;
				}
			}
		}
	}
	
	/**
	 * 键盘规则匹配器,返回double
	 * @param password  密码字符串
	 * @return
	 */
	public static double keysetMatcher(String password, int matchesMode) { 
		String t_password = new String(password);
		t_password = t_password.toLowerCase();
		t_password = canonicalizeWord(password);
		logger.debug("****************将密码字符串转换为键盘矩阵的对应坐标 start******************");
		char[] pwdCharArr = t_password.toCharArray();
		List row_cellList = new ArrayList();
		int Num = 0;
		int startIndex = -1;
		for(int i=0, ln= pwdCharArr.length; i<ln; i++) {
			int[] row_cell = (int[]) DICTIONARY_MAP.get(String.valueOf(pwdCharArr[i]));
			if(row_cell != null)  {
				row_cellList.add(row_cell); 
				Num++;
				if(startIndex == -1) startIndex = i; 
			} else row_cellList.add(null);
		}
		logger.debug("****************将密码字符串转换为键盘矩阵的对应坐标 end******************");
		
		logger.debug("****************初始化匹配链条 start******************");
		int index = startIndex+1;
		int[] row_cell0 = (int[]) row_cellList.get(startIndex);
		List matcherList = new ArrayList();
		List arr0 = new ArrayList();
		arr0.add(row_cell0);
		matcherList.add(arr0);
		logger.debug("****************初始化匹配链条 end******************");
		//根据匹配规则进行匹配
		if(KEYSET_MATCHER_UNDEMANDING_MODE == matchesMode) matches(matcherList, row_cellList, index);	//不严格的匹配模式
		else if(KEYSET_MATCHER_STRICT_MODE == matchesMode) maches2(matcherList, row_cellList, index);	//严格的匹配模式
		
		double rValue = 0;
		for(double threshold = THRESHOLD_STRONG; threshold <= THRESHOLD_MEDIUM; threshold+=0.1) {
			boolean flag = true;
			int nMinimumMeaningfulMatchLength =  (int) (Num * threshold);
			//特殊字符(~ ` - _ = + [ { ] } \ | ' ")所占比率上限
			if(threshold <= ((t_password.length() - Num)*1.0/t_password.length())) flag = false;
			if(flag) {
				for(int i=0; i<matcherList.size(); i++) {
					List list = (List) matcherList.get(i);
					if(list.size() >= nMinimumMeaningfulMatchLength) {
						flag = false;
						return rValue;
					}
				}
			}
			if(flag) {
				if(THRESHOLD_MEDIUM == THRESHOLD_STRONG) rValue = 10;
				else rValue = 6 + 4*(THRESHOLD_MEDIUM-threshold)*1.0/(THRESHOLD_MEDIUM-THRESHOLD_STRONG);
				break;
			}
		}
		return rValue;
	}

	/**
	 * 替换密码中的shift键产生的字符转换为非shift键时对应的字符
	 * @param password	密码字符串
	 * @return	替换后的密码字符串
	 */
	private static String canonicalizeWord(String password) {
		StringBuffer sb = new StringBuffer();
		if(password != null && password.length() > 0) {
			for(int i=0; i<password.length(); i++) {
				String cs = String.valueOf(password.charAt(i));
				if(CONVERSION_MAP.get(cs) != null) sb.append(CONVERSION_MAP.get(cs));
				else sb.append(cs);
			}
		}
		return sb.toString();
	}
	
	/**
	 * 搜索字符str中是否包含有regex指定的正则表达式匹配的子串
	 * @param str 待搜索字符串
	 * @param regex	正则表达式字符串
	 * @return	包含匹配子串返回true,否则返回false
	 */
	private static boolean stringFind(String str, String regex) {
		Pattern p = Pattern.compile(regex);
		Matcher m = p.matcher(str);
		if(m.find()) return true;
		return false;
	}
	
	/**
	 * 评估密码中包含的字符类型是否符合要求,如果低于下限返回0,否则返回6 + (字符类型总数 - 下限) * 2
	 * @param password  密码字符串
	 * @param num 密码至少包含的字符类型数(a-z,A-Z,0-9,特殊字符),默认为2
	 * @return 
	 */
	public static double checkCharTypeNum(String password, int num) {
		int typeNum = 0;
		if(stringFind(password, "[a-z]+")) typeNum++;
		if(stringFind(password, "[0-9]+")) typeNum++;
		if(stringFind(password, "[A-Z]+")) typeNum++;
		if(stringFind(password, "\\p{Punct}+")) typeNum++;
		double rValue = 0;
		if(typeNum >= num) {
			if(num == 4) rValue = 10;
			else rValue = 6 + (typeNum - num)*1.0/(4-num) * 4; 
		}
		return rValue;
	}
	
	/**
	 * 评估a-z,z-a这样的连续字符,返回一个double,如果连续字符占整个串长度的40%以上返回0,否则返回(1-连续字符占整个串长度的百分比) * 10
	 * @param password
	 * @return
	 */
	public static double checkSequentialChars(String password) {
		String t_password = new String(password);
		t_password = t_password.toLowerCase();
		double rValue = 0;
		int i = 2;
		int n = t_password.length();
		for(; i<n; i++) {
			boolean flag = true;
			for(int j=0; j+i<n; j++) {
				String str = t_password.substring(j, j+i);
				if((A_Z.indexOf(str) != -1) || (Z_A.indexOf(str) != -1)) {
					flag = false;
					break;
				}
			}
			if(flag) {
				if(i*1.0/n > MAX_SEQUENTIAL_CHARS_THRESHOLD)  rValue = 0;
				else rValue = (1-i*1.0/n) * 10;
				break;
			}
		}
		return rValue;
	}
	
	/**
	 * 评估密码至少包含的不同字符数(不区分大、小写),返回int,如果字符数小于下限返回0,否则返回6 + (包含字符数 - 下限),如果大于10,返回10
	 * @param password 密码字符串
	 * @param num 密码至少包含的字符类型数(a-z,A-Z,0-9,特殊字符),默认为2
	 * @return
	 */
	public static double checkMinContainCharNum(String password, int num) {
		String t_password = new String(password);
//		t_password = t_password.replaceAll("(.)\\1+", "$1");
		t_password = t_password.toLowerCase();
		t_password = canonicalizeWord(password);
		Map map = new HashMap();
		int snum = 0;
		for(int i=0,ln= t_password.length(); i<ln; i++) {
			String cs = String.valueOf(t_password.charAt(i));
			if(map.get(cs) == null) {
				map.put(cs, cs);
				snum++;
			}
		}
		double rValue = 0;
		if(snum >= num) rValue = 6 + (snum - num);
		return (rValue > 10 ? 10 : rValue);
	}
	
	/**
	 * 评估密码强度,根据密码长度,包含的字符类型,包含不同字符数,包含的连续字符,键盘输入习惯综合评估密码强度,返回0-10的double
	 * @param password
	 * @return
	 */
	public static double evalPWD(String password, int matchesMode) {
		if(password == null || "".equals(password.replaceAll("\\s+", ""))) return 0;		//判断密码为null或""
		if(MIN_LENGTH > password.length()) return 0;				//判断密码长度是否符合
		
		double[] val = new double[1000];
		int n = 0;
		for(int i=MIN_LENGTH; i<=password.length(); i++) {
			String t_password = password.substring(0, i);
			//评估密码中包含的字符类型是否符合要求
			double typeNumCheckResult = checkCharTypeNum(t_password,MIN_CHAR_TYPE_NUM);
			//评估密码至少包含的不同字符数(不区分大、小写)
			double minContainCharNumCheckResult = checkMinContainCharNum(t_password, MIN_CONTAIN_CHAR_NUM);
			//评估a-z,z-a这样的连续字符
			double sequentialCharsCheckResult = checkSequentialChars(t_password);
			//评估键盘输入习惯
			double keysetMatcherResult = keysetMatcher(t_password, matchesMode);
			logger.debug("评估密码中包含的字符类型结果:"+typeNumCheckResult);
			logger.debug("评估密码至少包含的不同字符数结果:"+minContainCharNumCheckResult);
			logger.debug("评估a-z,z-a这样的连续字符结果:"+sequentialCharsCheckResult);
			logger.debug("评估键盘输入习惯结果:"+keysetMatcherResult);
			if(typeNumCheckResult == 0 || minContainCharNumCheckResult == 0 || sequentialCharsCheckResult == 0 || keysetMatcherResult == 0) {
				val[n] = 0;
			}else {
				val[n] = typeNumCheckResult*CHAR_TYPE_NUM_THRESHOLD + minContainCharNumCheckResult*MIN_CONTAIN_CHAR_NUM_THRESHOLD + 
					sequentialCharsCheckResult*SEQUENTIAL_CHARS_THRESHOLD + keysetMatcherResult*KEYSET_MATCHER_THRESHOLD;
			}
			n++;
		}
		double rValue = 0;
		boolean flag = false;
		for(int i=0; i<n; i++) {
			if(val[i] != 0) {
				rValue += val[i];
				flag = true;
			}
			if(flag && val[i] == 0) rValue += 1;
			if(rValue >= 10) {
				rValue = 10;
				break;
			}
		}
		return rValue;
		
//		//评估密码中包含的字符类型是否符合要求
//		double typeNumCheckResult = checkCharTypeNum(password,MIN_CHAR_TYPE_NUM);
//		//评估密码至少包含的不同字符数(不区分大、小写)
//		double minContainCharNumCheckResult = checkMinContainCharNum(password, MIN_CONTAIN_CHAR_NUM);
//		//评估a-z,z-a这样的连续字符
//		double sequentialCharsCheckResult = checkSequentialChars(password);
//		//评估键盘输入习惯
//		double keysetMatcherResult = keysetMatcher(password, matchesMode);
//		logger.debug("评估密码中包含的字符类型结果:"+typeNumCheckResult);
//		logger.debug("评估密码至少包含的不同字符数结果:"+minContainCharNumCheckResult);
//		logger.debug("评估a-z,z-a这样的连续字符结果:"+sequentialCharsCheckResult);
//		logger.debug("评估键盘输入习惯结果:"+keysetMatcherResult);
//		if(typeNumCheckResult == 0 || minContainCharNumCheckResult == 0 || sequentialCharsCheckResult == 0 || keysetMatcherResult == 0) {
//			return 0;
//		}else {
//			return typeNumCheckResult*CHAR_TYPE_NUM_THRESHOLD + minContainCharNumCheckResult*MIN_CONTAIN_CHAR_NUM_THRESHOLD + 
//				sequentialCharsCheckResult*SEQUENTIAL_CHARS_THRESHOLD + keysetMatcherResult*KEYSET_MATCHER_THRESHOLD;
//		}
	}
	
	/**
	 * 用严格模式校验密码强度,根据密码评估结果判断密码是否可用,默认评估结果大于7的可用
	 * @param password
	 * @return
	 */
	public static boolean checkPwdInStrictMode(String password) {
		double rValue = evalPWD(password, KEYSET_MATCHER_STRICT_MODE);
		if(rValue >= PASSWORD_STRONG)  return true;
		return false;
	}

	/**
	 * 非严格模式校验密码强度,根据密码评估结果判断密码是否可用,默认评估结果大于7的可用
	 * @param password
	 * @return
	 */
	public static boolean checkPwdIndemandingMode(String password) {
		double rValue = evalPWD(password, KEYSET_MATCHER_UNDEMANDING_MODE);
		if(rValue >= PASSWORD_STRONG)  return true;
		return false;
	}
	
	public static void main(String[] args) {
		String[] sArr = {
				"1a2s3d4f5g6h",
				"zcvjlufw123433546",
				"~]sdfa^9mi|",
				"`%0,uTs85vkj",
				"liulanggood123",
				"PASSword_123",
				"yanghao1234",
				"yanghao123",
				"yanghao1981"
		};
		for(int i=0; i<sArr.length; i++) {
			System.out.println("严格模式下校验"+sArr[i]+"的密码强度:"+evalPWD(sArr[i], KEYSET_MATCHER_STRICT_MODE));
			System.out.println("非格模式下校验"+sArr[i]+"的密码强度:"+evalPWD(sArr[i], KEYSET_MATCHER_UNDEMANDING_MODE));
		}
		
	}
}
 
liulanggoood
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统弱口令检测和网络端口扫描
weixin_53496421的博客
02-22 2942
文章标题系统弱口令检测操作步骤 系统弱口令检测 Joth the Ripper,简称JR 一款开源的密码分析工具,支持字典式的暴力破解 通过对shadow文件的口令分析,可以检测密码强度 官方网站:http://www.openwall.com/john/ 操作步骤 cd /opt tar zxvf john-1.9.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make
【精选】弱口令介绍及破解方式
最新发布
cc123489ll的博客
06-21 993
仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。
入侵感知系列之弱口令检测思路
weixin_30786617的博客
02-21 558
弱口令检测 背景: 在安全方面弱口令问题算是技术含量最低的安全隐患了。但往往技术含量越低,被利用频率也越高,而且造成的影响还不见得小。所以治理弱口令将成为安全体系建设中性价比最高的一个环节。但是就是这样一个性价比高的环节想完全杜绝却不是那么容易,未来的系统可以通过注册申请环节强制设置强密码,但是针对过去的老旧系统弱口令问题就令人头疼了。 目的: 通过多种维度组成多种方案来帮助管...
弱口令漏洞
xv7777666的博客
04-24 792
举例来说,如果有两个Payload标志位置,第一个Payload值为A和B,第二个Payload值为C和D,则发起攻击时,将共发起四次攻击,第一次使用的Payload分别为A和C,第二次使用的Payload分别为A和D,第三次使用的Payload分别为B和C,第四次使用的Payload分别为B和D。——它使用一组Payload集合,依次替换Payload位置上(一次攻击只能使用一个Payload位置)被§标志的文本(而没有被§标志的文本将不受影响),对服务器端进行请求,通常用于测试请求参数是否存在漏洞。
mysql弱口令检查方法
11-05
一个简单的mysql弱口令检查脚本,希望能对给位有所帮助
基于口令的身份认证方案的设计与实现 -前部分.doc
05-21
基于口令的身份认证方案的设计与实现 概述: 随着互联网的飞速发展,全球性信息化浪潮也是日新月异的,信息网络技术也正日益普及和广泛应用,不断深入应用层次,同时从传统的小型业务系统,开始逐渐向大型关键业务...
基于USB-Key的强口令认证方案设计与分析 (2011年)
05-13
该方案使用USB-Key进行用户口令的验证并存储认证的安全参数,能够有效地保护安全参数不被窃取。认证方案在认证过程中对用户的身份信息进行了保护,使用Hash运算计算认证参数,通过用户端和服务器端之间的认证参数的...
一次性口令 课程设计 C++实现
07-26
1. 设计一次性口令的算法: Lamport 方案、时间同步方案、挑战/应答方案等。 2. 使用 C++ 语言编写一个一次性口令的程序,实现用户注册、身份认证、口令计算和退出等功能。 3. 建立相当的系统安全性,包括登录用户...
用户认证管理设计方案
09-17
用户认证管理设计方案是确保系统安全性的重要组成部分,它涉及到用户、角色和权限的管理。在设计这样的系统时,首要目标是创建一个可扩展性强且易于维护的架构。以下是关于这一主题的详细阐述: 1. 用户管理:用户...
一个安全的动态口令鉴别方案 (2002年)
04-26
本文提出了一种安全的动态口令鉴别(认证)方案(SDPA),该方案旨在解决在不安全网络通道上进行用户身份验证的问题。与传统的静态密码认证方法相比,SDPA通过引入额外的小量计算负担来显著提升安全性。传统方法如...
windows弱口令check工具和方法
03-12
windows系统的弱口令检查工具和方法。引用“彩虹table”暴力猜解windows系统弱口令。对于用户设置的简单密码可以短时间破译。
Python实现FTP弱口令扫描器的方法示例
09-19
主要介绍了Python实现FTP弱口令扫描器的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
弱口令检测
chanxi4688的博客
08-28 750
John the Ripper是一款开源的密码工具,能够在一直密文的情况下快速分析出明文的密码字串,通过对/etc/shadow /etc/passwd文件的分析,破解密码 将放置John软件的文件夹共享出去,在xshell中通过subclient指令查看共享 将john文件夹下的软件包,挂载的/mnt目录下,并查看 文件在/mnt目录下,进入其中,解压到目录/opt下 源码是用C语言文...
弱口令排查思路
望江湖,且看云卷云舒
05-05 3794
在现在的攻防对抗、重保等重要时期中,基于人员安全意识的攻击日渐增多,人员的安全意识淡薄也造成了很多内网终端、业务系统沦陷的实际安全事件的发生。在日常网络安全运营工作中弱口令的排查整改要从管理和技术等多维度进行整改,从整体提升企业网络安全人防侧的意识,降低人防缺陷造成的入侵事件发生的可能。 弱口令分类 1、应用系统 2、中间件 3、数据库 4、操作系统 --------------- 风险分析 攻击者会利用弱口令或默认口令登录目标机,造成以合法身份访问目标系统进一步攻击的风险。 技术..
Linux——系统安全及应用(弱口令检测、端口扫描)
ML908的博客
11-15 1098
基本安全措施 系统账号清理 将非登陆用户的Shell设为/sbin/nologin,表示禁止中断登陆,确保不被人为改动 在系统中,除了手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其他大量账号。除了root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登陆的,因此也称为非登陆用户 [root@localhost ~]# grep "/sbin/nologi...
关于密码弱口令)的正则表达式校验
热门推荐
wiliam_9的博客
08-13 1万+
需求=新建用户时需验证用户密码,必须包含数字、大小写字母,且至少六位。           在登录时,必须校验之前不符合规则弱口令密码规则同上; 正则表达式为  (java、js通用),默认6至18位 (?![0-9A-Z]+$)(?![0-9a-z]+$)(?![a-zA-Z]+$)[0-9A-Za-z]{6,18}$ js判断如下(value为判断对象): var m = /...
密码验证
secret2316352792的博客
06-18 1931
包含大小写字母、数字、特殊字符四种组合中的三种组合常规定义C#代码JS代码 常规定义 从口令设置的规则来说,所有口令(密码)位数必须大于等于8,至少包含大小写字母、数字、特殊字符四种组合中的三种组合,不符合此种规则的为弱口令。 C#代码 1.验证规则 string reg = @"^(?![a-zA-Z]+$)(?![A-Z0-9]+$)(?![A-Z\W_]+$)(?![a-z0-9]+$)(?...
弱口令校验策略与Java实现详解
文章详细阐述了弱口令验证方案的关键组成部分: 1. 概述:文章首先介绍了弱口令校验的目的,即确保用户设置的密码强度足够,防止被轻易破解。 2. 弱口令设计思路 - 基本校验: - 长度校验:要求口令至少包含规定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值