什麼是弱口令?
弱口令(weak password) 沒有嚴格和準確的定義,通常認爲容易被別人(他們有可能對你很瞭解)猜測到或被破解工具破解的口令均爲弱口令。弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”等,因爲這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險,因此不推薦用戶使用。
虛擬機的危害,在當今很多地方以用戶名(帳號)和口令作爲鑑權的世界,口令的重要性就可想而知了。口令就相當於進入家門的鑰匙,當他人有一把可以進入你家的鑰匙,想想你的安全、你的財物、你的隱私…害怕了吧。因爲弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家門鑰匙放在家門口的墊子下面,是非常危險的。
那麼在日常工作中,怎麼對弱口令進行檢測呢?
我會使用john工具
John弱口令檢測工具的使用
Joth the Ripper,簡稱JR,一款密碼分析工具,支持字典式的暴力破解,通過對shadow文件的口令分析,可以檢測密碼強度,官方網站
http://www.openwall.com/john/
下載john軟件,並放在opt下
解壓JR軟件(外部軟件)
對這個tar包進行解壓
查看外部軟件說明書
進入該解壓的目錄下,可以看到裏面有該軟件的說明書
使用該軟件
進入john目錄下的run目錄,查看裏面的內容
password.list 是該程序自帶的密碼字典
進入john—src
執行安裝
注:該軟件需要使用64位進行編譯
執行後會發現run目錄下多了一個文件
進行密碼檢測
已知 賬戶的密碼存在 /etc/shadow中,和/passwd進行對照
所以要用軟件掃描這兩個文件夾
(敲完之後等一會,就能彈出來密碼)
john 能夠分析出系統的用戶登錄密碼,是因爲其擁有一個名爲 password.lst 這樣的一個字典,只要這個字典足夠全面強大,密碼不管再複雜都可以分析出來。