什么是弱口令?
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
虚拟机的危害,在当今很多地方以用户名(帐号)和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私…害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。
那么在日常工作中,怎么对弱口令进行检测呢?
我会使用john工具
John弱口令检测工具的使用
Joth the Ripper,简称JR,一款密码分析工具,支持字典式的暴力破解,通过对shadow文件的口令分析,可以检测密码强度,官方网站
http://www.openwall.com/john/
下载john软件,并放在opt下
解压JR软件(外部软件)
对这个tar包进行解压
查看外部软件说明书
进入该解压的目录下,可以看到里面有该软件的说明书
使用该软件
进入john目录下的run目录,查看里面的内容
password.list 是该程序自带的密码字典
进入john—src
执行安装
注:该软件需要使用64位进行编译
执行后会发现run目录下多了一个文件
进行密码检测
已知 账户的密码存在 /etc/shadow中,和/passwd进行对照
所以要用软件扫描这两个文件夹
(敲完之后等一会,就能弹出来密码)
john 能够分析出系统的用户登录密码,是因为其拥有一个名为 password.lst 这样的一个字典,只要这个字典足够全面强大,密码不管再复杂都可以分析出来。