不同服务都有一些具有各自服务特色弱口令,有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空;FTP根据其工具不同而具体机组默认账号密码,如“账号:ftp 密码 ftp”、“账号 anonymous 密码 anonymous/空”。
因此我们在检测一个服务的弱口令时,也可以尝试手工,用比较常见的账号密码进行服务登录尝试。比如:123456、abc123、111111等。
下面给出一份简化的快速字典
1.弱口令是所有安全漏洞中形成原理最简单的一类漏洞。
由于弱口令更多是因为人们的安全意识淡薄、安全管理缺失造成的,那我们如何设置一个不弱的密码呢?
(1)用户密码长度在8位以上、由字母、数字、特殊符号混合构成;
(2)不使用与个人资料相关信息。例如用户名、姓名(拼音名称、英文名称)、生日、电话号、身份证号码以及其他系统已使用的密码等;
(3)避免使用连续或相同的数字字母组合;
(4)不使用字典中完整单词。
2.对于口令攻击,除了使用强密码之外,还需要采取一些措施来防止受到密码攻击。一般来讲,在应用层面的应对措施是在登录的过程中使用验证码,如图形验证码。
3.在系统层面最常