弱口令安全&弱口令字典_web弱口令字典github

知识点

1. 弱口令的安全问题介绍
2. 弱口令的对象
3. 弱口令的防范

弱口令的安全问题

弱口令呢，通俗一点就是对账户密码的暴力猜解

黑客呢会通过工具软件或者是，脚本对目标的账户进行暴力猜解

当然不是只要弱口令就能成功的，一般弱口令成功的高低取决与字典的优质性，字典越优质，对于破解工作来说越好，

一旦这个攻击者啊弱口令成功了，就能直接登录进去后台了

弱口令也是最危险的渗透操作之一，为什么呢

首先弱口令需要跑大量的请求数据，一但对方目标的服务器太辣鸡的，很容易会被跑崩，这时候就难搞咯

所以说弱口令也是比较危险的

字典是什么？

这里说字典，通俗一点来说就是两个文件，一个文件存在着大量的用户账户，另一个存在的大量的密码

弱口令就是，绕过去猜他的账户和密码是什么

演示

比如我们的账户字典里面是admin admin1 admin2…等等，而我们的密码字典是123，1234，12345

好

当我们去弱口令的时候啊

就是一个一个去比对

一个一个账户去试

账户是admin密码是123

账户是admin密码是1234

账户是admin密码是12345

账户是admin1密码是123

就这样一个一个去试

为什么会有弱口令

首先存在弱口令的话，有几种原因

1. 初始密码不改
2. 改了密码又太简单了

弱口令的对象

有哪些对象可以进行弱口令呢

这里只能这么说啊

只要有账户和密码登录的就有弱口令漏洞

那么这么去找弱口令字典呢，这么去找资源呢

首先啊，字典网上很多，想要优质的，需要自己搞了，那么弱口令的资源这么找呢，比如社工他的历史账户密码，等等网上有很多这个可以查看到一个人的历史账户密码，撞库什么的，我这里就不告诉就拉，等一下擦边擦破了

工具

https://github.com/shack2/SNETCracker/releases

弱口令防范

• 不使用弱口令
• 密码分级制度
• 口令不出现个人身份相关的信息
• 尽可能增加密码复杂度(大小写字母、数字、特殊字符)
• 一定时间段必须更换密码
• 不保存、不传播密码