渗透测试之破解密码(3)
常见密码破解技术
名称 | 攻击方式 |
---|---|
字典攻击 | 尝试常用密码表 |
暴力攻击 | 尝试字符的所有可能组合 |
混合攻击 | 在字典攻击基础上加入通用密码常用的1或! |
被动攻击 | 网络监听,分析数据流量以寻找密码 |
主动在线攻击 | 更加深入接触目标 |
离线攻击 | 攻击者设法取得存储密码的凭据 |
非技术性攻击 | 社会工程学 |
被动在线攻击
嗅探之所以成为有效的信息收集方式是因为人们使用不安全的协议如FTP、Telnet、rlogin、SMTP和POP3等,这些协议逐步淘汰或通过SSH等其他安全手段加强,但仍有网络采取纯文本格式保存密码的遗留协议。
中间人攻击:攻击者篡改通信双方交流的信息,因为Telnet和FTP等协议明文传输身份验证数据(用户名和密码),所以这种情况下攻击特别有用。
主动在线攻击
恶意软件的一种形式是键盘嗅探或键盘记录,在用户输入密码时截获。
离线攻击
彩虹表
彩虹表是提前生成的一定范围内所有可能的字符组合的哈希值,攻击方截获网络上传输的密码的哈希值,与彩虹表中哈希值对比,快速匹配到原密码。
彩虹表缺点是需要大量时间生成,且无法破解长度无限的密码。
- 启动w