4.4.7-测试弱密码策略

已于 2024-04-18 15:44:24 修改
阅读量55 收藏
点赞数
分类专栏: 4.4 认证测试 文章标签: 数据库 java redis web安全
于 2023-10-18 09:25:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/133898667
版权

测试弱密码策略

ID
WSTG-ATHN-07

总结

  • 最普遍和最容易管理的身份验证机制是静态密码。密码代表着王国的钥匙,但经常被用户以可用性的名义颠覆。在最近每一次泄露用户凭据的高调黑客攻击中,令人遗憾的是,最常见的密码仍然是: 123456, passwordqwerty.

测试目标

  • 通过评估密码的长度、复杂性、重用和老化要求,确定应用程序对使用可用密码字典进行暴力破解的抵抗力。

如何测试

  1. 密码中允许和禁止使用哪些字符?用户是否需要使用不同字符集的字符,例如小写和大写字母、数字和特殊符号?
  2. 用户多久可以更改一次密码?用户在上次更改后更改密码的速度有多快?用户可以通过连续更改密码 5 次来绕过密码历史记录要求,以便在最后一次更改密码后再次配置初始密码。
  3. 用户何时必须更改密码?
    • NISTNCSC 都建议 **不要 **强制密码定期过期,尽管 PCI DSS 等标准可能要求这样做。
  4. 用户多久可以重复使用一次密码?应用程序是否保留用户以前使用的 8 个密码的历史记录?
  5. 下一个密码与上一个密码有何不同?
  6. 是否阻止用户在密码中使用其用户名或其他帐户信息(例如名字或姓氏)?
  7. 可以设置的最小和最大密码长度是多少,它们是否适合帐户和应用程序的敏感度?
  8. 是否可以设置常用密码,例如 Password1123456

修复

为了降低容易猜到密码导致未经授权访问的风险,有两种解决方案:引入额外的身份验证控制(即双因素身份验证)或引入强密码策略。其中最简单和最便宜的是引入强密码策略,确保密码长度、复杂性、重用和老化;尽管理想情况下,两者都应该实施。

引用

暴力攻击

开启学习模式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库优化的一般方法论和优化策略 Optimize query performance for a multitenant database
程序员光剑
08-02 706
19年前,当时互联网还叫互联网,现在它已经发展成为上网、购物、社交、即时通讯、网银等多功能综合性应用平台,并且迎来了第四次互联网革命,Facebook、Google、Amazon、微软、Twitter都成为了行业领先者。而随着互联网公司的发展壮大,数据量也越来越大,给数据库的优化和管理带来了新的挑战。本文将以一个实际案例介绍如何针对一个拥有多个租户(Tenant)的数据场景,优化其查询性能,其中包括索引策略、索引利用率监控、缓存设置及连接池大小调优等。
第七篇:Web架构及其演进
程序员光剑
07-31 5064
Web架构及其演进作为IT界的一个重要的分支之一,自20世纪90年代末开始蓬勃发展,现已成为影响力巨大的研究热点。本文将从计算机网络、网站开发、数据库、缓存、CDN、云计算、安全等方面,详细探讨Web架构的发展历史、基本概念、关键组件、典型应用场景以及其发展趋势与挑战。并结合实际案例,对Web架构进行完整而系统地阐述。张少鑫,博士,中国科学院自动化所博士后,曾就职于微软亚洲研究院,目前任职于国立台湾大学电子信息工程系助理教授兼研究员。
密码校验
wch19960518的博客
05-06 775
密码校验
4.4.9-测试密码更改或重置功能
qq_44232452的博客
10-18 76
对于任何要求用户使用密码进行身份验证的应用程序,必须有一种机制,用户在忘记密码时可以重新获得对其帐户的访问权限。虽然这有时可能是一个涉及联系网站所有者或支持团队的手动过程,但通常允许用户执行自助密码重置,并通过提供其他一些身份证明来重新获得对其帐户的访问权限。由于此功能提供了破坏用户帐户的直接途径,因此安全实施至关重要。
口令(Weak Password)总结和爆破工具
zzz6583zz的博客
06-11 931
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为口令。
通用数据库密码检测解决方案
china_yebin的博客
04-28 2571
通过加密解密算法检验数据库用户密码是否存在密码问题,可适用于主流的数据库产品(Oracle,MySQL,Postgres,SQLServer,达梦8,人大金仓8),解决传统通过碰库方式检测的效率低下和用户被锁的问题。 01 — 数据库密码存储图解说明 工具通过密码生成算法的方式,以最高的计算效率分析密码问题。以下是工具的性能效率测试统计。 测试项目 算法执行次数 执行时间(秒) 验证速
口令扫描工具有哪些?检测的主要方法及常用口令密码
白帽黑客鹏哥的博客
12-11 6275
口令工具主要用于密码破解、安全评估和网络防御测试。这些工具通过尝试一系列常用的口令来检测系统或账户的安全性。
mysql-2-redis-配置安装.docx
最新发布
07-10
- **安装GCC**: 通过`yum`安装,版本为`gcc (GCC) 4.4.7 20120313 (Red Hat 4.4.7-11)`。 ```bash # 安装命令 yum -y install gcc gcc-c++ ``` ##### 2. MySQL安装与配置 - **安装MySQL**: 通过`yum`安装,版本...
OWASP Web 安全测试指南-Web 应用程序安全测试
seanyang_的博客
12-04 479
本节介绍 OWASP Web 应用程序安全测试方法,并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。
软件测试概念知识
vikeyyyy的博客
07-20 955
1、软件的概念 软件是计算机系统中与硬件相互依存的另一部分,它是包括程序,数据及其相关文档的完整集合。 程序是按事先设计的功能和性能要求执行的指令序列。 数据是使程序能正常操纵信息的数据结构。 文档是与程序开发,维护和使用有关的图文材料。 2、软件生命周期 2.1、可行性分析        可行性研究的结果是客户做出是否继续惊醒这项工程的决定的重要依据,一般来说,只有投资可能取得较大效...
密码测试工具blaster使用演示
include_voidmain的博客
10-27 1832
密码测试工具blaster使用演示
密码守护者】让密码无处遁形,保护你的UOS系统安全
guijianchouxyz的博客
05-09 725
密码,是守护我们数字世界的钥匙。一个强大、复杂的密码,能够有效地抵御黑客攻击和信息泄露的风险。但在日常使用中,许多人因为方便记忆而选择了简单易猜的“密码”,这无疑给自己的信息安全埋下了隐患。今天,我们就来使用john来探测下主机上面的密码用户,让密码无处可逃!uos 1050 桌面专业版(需要root权限)经测试,只要是系统架构匹配,部分桌面还是服务器都小编测试完成后,会自动释放该主机,工作中千万不要学习小编的123456。
常用开源的口令检查审计工具
Marsal的博客
08-08 7019
常用的密码爆破工具
密码检测 C#
sinat_30685949的博客
04-21 398
经常碰到密码检查要求。密码检测,代码如下。
java利用正则表达式密码检测
liaomingwu的专栏
03-12 2144
java利用正则表达式密码检测
pwdcompare_使用PWDCOMPARE功能对SQL登录进行安全测试
culuo4781的博客
07-23 724
pwdcompare In this article, we’ll look at using the built-in PWDCOMPARE function in SQL Server for security testing passwords. While this tool may seem like it exposes a weakness in Microsof...
如何检测用户是否存在口令的现象?
热门推荐
JackTian
07-25 1万+
如何检测用户是否存在口令的现象? 在现互联网环境下,工作中避免不了会考虑服务器的安全问题,那么对于简单的口令来说,则是服务器所面临的最大风险。即便大家都会有这方面的安全意识,设置一个符合长度且复杂性的口令会更加安全,但总是会有一些用户因贪图方便而采用简单且易记的口令。 那么对于任何一个承担着安全责任的管理员来说,通过某种手段来更高效的找出那些口令用户是非常重要的,就是今天我所推荐的口令检测工...
密码检测
weixin_33895657的博客
07-01 305
import-module activedirectory $file = "E:\PowerShell\Checkpass\ausersy.txt" $file_output = "e:\PowerShell\Checkpass\badpass.txt" $usersy=Get-ADUser -filter * -searchbase "ou=优信拍,dc=uxin,dc=you...
gcc 4.4.7-23
07-19
4.4.7-23是GCC的一个版本号。 GCC 4.4.7-23是GCC的第4.4.7版本的第23个更新版本。这个版本的GCC是在2017年10月发布的,是GCC 4.4系列的最终更新版本。GCC 4.4系列主要支持C和C++两种语言的编译。 GCC作为一款优秀...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值