你的密码已泄露!使用C#阻止弱密码

最新推荐文章于 2023-04-30 11:43:03 发布
最新推荐文章于 2023-04-30 11:43:03 发布
阅读量462 收藏 1
点赞数
分类专栏: CSharp.NET 文章标签: c# 弱密码
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654084735&idx=3&sn=65c6a019eb01f88fba757eaabfbb2bf6&chksm=80d83a2ab7afb33c9acfc2ee244333d484d91a451c4b08d30da51147042a2425cdf6eb324928&mpshare=1&scene=23&srcid=0704C0QVCiatgYNVB91myaaN&sharer_sharetim
版权

虽然,我们为了安全考虑,在注册用户时会检查密码规则,避免弱密码,比如百度的注册页面: 

图片

但是,现在的黑客也不会傻到用穷举的办法生成密码去攻击网站,更常用的方式是使用已泄露密码生成的字典。

那这些字典从哪来的?

HIBP(have i been pwned)

我知道的,可以得到这些数据的最大网站是HIBP(https://haveibeenpwned.com/),上面提供了大量已泄露网站的信息,连FBI都向它提供数据: 

图片

从网站提供的被泄露网站列表上看,已经有多家国内公司数据上榜,某知名网站也在列: 

图片

网站上还可直接检查你的密码是否已经泄露,我们测试一个符合百度密码规则的看看: 

图片

可以看到有多少人和你设一样的密码的了!囧

图片

PwnedPasswords.Client NuGet包

网站也提供了API(https://haveibeenpwned.com/API/v3)用于执行检查操作。

而.Neter可以直接使用NuGet包PwnedPasswords.Client来调用API。

引用PwnedPasswords.Client NuGet包后,在Startup.cs文件的ConfigureServices方法中加入下列代码:

services.AddPwnedPasswordHttpClient(minimumFrequencyToConsiderPwned: 1000);

minimumFrequencyToConsiderPwned表示泄露次数超过此设置的才算弱密码。

使用HasPasswordBeenPwned检查密码是否已经泄露:

private readonly ILogger<WeatherForecastController> _logger;
private readonly IPwnedPasswordsClient pwnedPasswords;

public WeatherForecastController(ILogger<WeatherForecastController> logger, 
IPwnedPasswordsClient pwnedPasswords)
{
    _logger = logger;
    this.pwnedPasswords = pwnedPasswords;
}

[HttpGet]
public async Task<string> GetAsync(string password)
{
    if (await pwnedPasswords.HasPasswordBeenPwned(password))
    { 
        return "弱密码";
    }

    return "强密码";
}

图片

结论

由于泄露密码随时在增加,建议在登录时也加上弱密码检测。

一旦发现密码属于已泄露的,则跳转到修改密码页面,要求用户重新设置密码。

寒冰屋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
判断密码
weixin_45454638的博客
10-10 659
python 字符串 str.isnumeric() 检测字符串是否只由数字组成 str.isalpha() 检测字符串是否只由字母组成 str.islower() 检测字符串中的字母是否都为小写 str.isupper 检测字符串中所有的字母是否都为大写 更多isxxx()方法请参考: https://docs.python.org/3/library/stdtype...
什么是密码,如何避免
04-13 3082
密码即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如“123456”、“abc123”、“Michael”等。终端设备出厂配置的通用密码等都属于密码范畴。 国内密码 国内网民常用的25个密码包括:000000、111111、11111111、11...
网安:haveibeenpwned(社工库)查看信息是否被泄露
srhqwe的博客
04-30 4873
撞库:比如你在优酷的信息泄露了,这个信息的密码是你qq账号的密码,攻击者通过这个优酷得到的密码进入了你的qq。可以输入手机号或者邮箱查看信息是否被泄露,如果有被泄露的,查看怎么被泄露的。最后赶快修改关键信息,免得撞库。网安:haveibeenpwned(社工库)查看信息是否被泄露。通过以上网址可以到达官网。
密码检测 C#
sinat_30685949的博客
04-21 357
经常碰到密码检查要求。密码检测,代码如下。
密码判断
04-19
输入内容自动检测强输入内容自动检测强输入内容自动检测强
什么是密码,怎么防止成员使用密码?【企业邮箱怎么申请】
naite123456的博客
02-10 496
1、密码是指系统多重判断为易被盗取的密码。 2、网易企业邮箱服务后台给企业管理人员提供了密码统计功能,管理员可查看使用密码的成员帐号,并支持一键强制修改密码。 *网易企业邮箱官方客户端支持二次登录验证,安全管理多维升级。也可以下载安装专属客户端。【企业邮箱申请】 ...
最佳的存储登录密码的算法和格式?
04-02
同时,系统应实施最小密码长度限制,定期提示用户更换密码,以及检测并阻止常见密码使用。 在处理用户输入时,应避免SQL注入攻击,可以通过参数化查询或使用存储过程来确保安全性。在C#中,可以使用`SqlCommand...
ad-password-protection:Active Directory密码过滤器具有违反密码检查和自定义复杂性规则的功能
05-05
阅读入门 Active Directory的Lithnet密码保护(LPP)增强了想要确保其所有Active ... 根据某些单词阻止密码。 添加被禁止的单词可以防止将其用作密码的基础。 例如,将单词“ password”添加到禁止的单词存储中,
安全密码输入框源代码
12-09
3. **内存保护**:密码在内存中存储时应被加密,确保即使内存被泄露密码也不会暴露。 4. **反钩子技术**:源代码可能包含了检测和阻止键盘钩子的机制,防止恶意程序安装钩子监听键盘输入。 5. **安全传输**:...
C# + JavaScript密码强度检测
03-20
C# + JavaScript密码强度检测
C#判断密码强度的方法
12-26
本文实例讲述了C#判断密码强度的方法。分享给大家供大家参考。具体如下: 1.关于密码强度 密码强度有强之分,包含数字、字母和其他符号三者且长度不小于10的密码被称为强密码,只有其中一者或长度不大于6的密码密码,其他密码是中等强度密码。 2.判断密码的函数 /// /// 密码强度 /// private enum Strength { Invalid = 0, //无效密码 Weak = 1, //低强度密码 Normal = 2, //中强度密码 Strong = 3 //高强度密码 }; /// /// 计算
2018.12-Web口令通用检测方法探究1
08-03
2018.12-Web口令通用检测方法探究1
nodejs-haveibeenpwned:HaveIBeenPwnd.com的API方法(非官方)
05-03
哈维宾 我被伪造的API方法(非官方) 例子 const hibp = require ( 'haveibeenpwned' ) ( ) ; hibp . breachedAccount ( 'foo@bar.com' , ( err , data ) => { if ( err ) { return console . log ( err ) ; } console . log ( data ) ; } ) ; 安装 npm i haveibeenpwned 配置 名称 类型 必需的 默认 描述 超时 数字 不 5000 请求等待超时(以毫秒为单位) const pwned = require ( 'haveibeenpwned' ) ( { timeout : 10000 } ) ; 我已经被认领了吗 以下是主要的Have I Been Pwned API
c#网吧锁屏
03-13
密码的存储应使用不可逆的加密方式,如SHA256,以防止明文密码泄露。 5. **事件处理**:添加键盘监听事件,当用户输入正确的密码时,解锁屏幕并恢复正常的系统操作。可以使用`System.Windows.Forms.Form.KeyPreview...
C# 实现锁屏的源码
04-05
C#编程环境中,开发一个锁屏功能涉及到操作系统交互、用户界面设计以及安全机制的实施。这个项目通过使用钩子函数来实现,钩子函数是一种Windows API中的技术,允许我们拦截和处理系统消息,以此来达到监控或改变...
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9238
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
Python的学习笔记案例6--判断密码强度2.0
蓝星部队的博客
09-15 861
本节课主要讲解循环终止和限制密码的验证次数: 1、brack可以使循环终止; 2、使用while循环可以限制验证次数。 """ 作者:lanxingbudui 版本:2.0 日期:2019-07-15 功能:判断密码强度 2.0新增功能:限制密码验证次数,循环终止 """ def check_number_str(password_str): ...
[原]密码的判断
weixin_30485291的博客
04-26 151
window.onload = function () { document.getElementById('txt').onkeyup = function () { var tds = document.getElementById('tb').getElementsByTagName('td'); ...
c#使用账户密码 访问网络共享文件夹
最新发布
05-31
你可以使用System.Net.NetworkCredential类来指定账户和密码,然后使用System.Net.WebClient或System.IO.File类来访问网络共享文件夹。以下是一个示例代码: ```csharp using System.Net; string url = @"\\server\share\file.txt"; string username = "your_username"; string password = "your_password"; NetworkCredential credentials = new NetworkCredential(username, password); WebClient client = new WebClient(); client.Credentials = credentials; string contents = client.DownloadString(url); // 或者使用以下代码 using System.IO; string path = @"\\server\share\file.txt"; using (var stream = new FileStream(path, FileMode.Open, FileAccess.Read, FileShare.ReadWrite)) { StreamReader reader = new StreamReader(stream); string contents = reader.ReadToEnd(); } ``` 在上面的示例代码中,你需要将 `url` 替换为你要访问的网络共享文件的路径,将 `username` 和 `password` 替换为你的网络共享文件夹的账户和密码。然后,使用 `NetworkCredential` 类创建一个凭据对象,并将其分配给 `WebClient` 或 `FileStream` 对象的 `Credentials` 属性。最后,使用 `DownloadString` 方法或 `StreamReader` 类读取文件中的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值