如何顯示密碼安全強度?
碼的安全強度進行判斷是在JavaScript腳本中,應用正則表達式來完成的�。
����、概念
弱密碼指的是一些非常容易被破譯的密碼,密碼規律性很強,可能是連續數字�、鍵盤連續按鍵、使用者身份信息等 。國內網民常用的25個弱密碼有:
000000����、111111����、11111111����、112233、123123�、
123321���、123456���、12345678����、654321����、666666�、
888888、abcdef���、abcabc、abc123����、a1b2c3�、
aaa111�、123qwe���、qwerty���、qweasd����、admin�、
password、p@ssword����、passwd�、iloveyou���、5201314�、
asdfghjkl、66666666���、88888888
國外網民常用的25個弱密碼:
password、123456���、12345678����、qwerty、abc123�、
monkey����、1234567�、letmein、trustno1�、dragon�、
baseball���、111111�、iloveyou、master����、sunshine���、
ashley�、bailey���、passw0rd���、shadow����、123123、
654321、superman�、qazwsx�、michael���、football���、asdfghjkl
另外還要避免一密多用�、加強密碼的管理���。
二����、Linux系統密碼安全性設置
1. 口令復雜度設置
設置密碼不少于12位、包含大寫、小寫���、數字、其它字符,每個字符最多重復2次
authconfig --passminlen=12 --passminclass=4 --passmaxrepeat=2 --update
2. 生成復雜密碼方法
(1) 使用keepass開源密碼管理軟件
下載地址:keepass.info/download.html
(2) 使用OpenSSL命令生成隨機字符串
# 生成12位隨機密碼
openssl rand -base64 12
(3) 在Linux中使用pwgen
安裝
# deepin/ubuntu
sudo apt install pwgen -y
# centos redhat
sudo yum install pwgen -y
生成復雜密碼,含大小寫、數字���、特殊字符,12位
pwgen -c -n -y 12 1
(4) 使用一些在線網站生成隨機密碼
3. 弱密碼校驗破解工具
John the ripper
可以用來破解強度不大的Linux系統密碼����。網站: www.openwall.com/john
# 安裝
cd ~/
wget http://www.openwall.com/john/j/john-1.8.0.tar.gz
tar zxvf john-1.8.0
cd john-1.8.0
make clean linux-x86-64
cd ~/john-1.8.0/run
./john --test
# 使用
# 把shadow導出來
./unshadow /etc/passwd /etc/shadow > mypassword.txt
./john --wordlist=password.lst mypassword.txt
./john --show mypassword.txt
我這虛擬機使用密碼123456很快被破解出來了����。
使用John the ripper需要的密碼表比較重要。
三、一些通用型弱密碼檢測工具
這些弱密碼檢測工具,同樣可以用作攻擊破解的工具����。大家使用務必注意����,針對未授權的目標進行掃描有可能觸犯法律����。即使針對云上自己租用的主機,也應當在運營商許可的情況下再進行掃描檢測�。
(1) Hydra
黑客組織thc開源的一款暴力破解密碼的工具�,支持:AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, uHTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET���,HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP 等類型密碼���。網址:http://www.thc.org/thc-hydra
# 安裝
cd ~/
git clone https://github.com/vanhauser-thc/thc-hydra.git
cd thc-hydra/
./configure
make
# 安裝位置: /usr/local/bin/hydra
sudo make install
# 使用
hydra -l robert -P password.lst ssh://ip:22 -t 4
參數說明:
- -l 用戶名
- -L 用戶名列表
- -P 密碼列表
- -M ip列表
在BackTrack5中集成了xHydra���,可進行GUI界面操作:測試一個目標的SSH破解:
Passwords設置:Password List : /pentest/passwords/wordlists/darkc0de.lstTuning設置:
點擊start按鈕���,破解即開始����。
(2) medusa
同樣支持很多服務破解�。
# 批量掃弱口令
medusa -h ip -u user -P password -M ssh/ftp/telnet/http -H target_ip list
(3) F-Scrack(服務弱口令檢測腳本)
開源地址:https://github.com/y1ng1996/F-Scrack支持 : FTP、MYSQL����、MSSQL�、MONGODB���、REDIS����、TELNET、ELASTICSEARCH���、POSTGRESQL 等。特點:
- 命令行、單文件���,綠色方便各種情況下的使用。
- 無需任何外庫以及外部程序支持�,所有協議均采用socket與內置庫進行檢測�。
- 兼容OSX�、LINUX、WINDOWS����,Python 2.6+(更低版本請自行測試,理論上均可運行)����。
命令格式
python F-Scrack.py -h 192.168.1 [-p 21,80,3306] [-m 50] [-t 10]
參數說明
- -h 必須輸入的參數�,支持ip(192.168.1.1)���,ip段(192.168.1)����,ip范圍指定(192.168.1.1-192.168.1.254),ip列表文件(ip.ini),最多限制一次可掃描65535個IP���。
- -p 指定要掃描端口列表,多個端口使用,隔開 例如:1433,3306,5432����。未指定即使用內置默認端口進行掃描(21,23,1433,3306,5432,6379,9200,11211,27017)
- -m 指定線程數量 默認100線程
- -t 指定請求超時時間����。
- -d 指定密碼字典����。
- -n 不進行存活探測(ICMP)直接進行掃描����。
示例
python Scrack.py -h 10.111.1
python Scrack.py -h 192.168.1.1 -d pass.txt
python Scrack.py -h 10.111.1.1-10.111.2.254 -p 3306,5432 -m 200 -t 6
python NAScan.py -h ip.ini -n
(4) XSCan
網址:http://www.vulnerabilityassessment.co.uk/xscan.htm有命令行和可視化界面兩種使用方式���,支持以下掃描:
- 操作系統探測���、版本探測
- 端口掃描
- SNMP信息
- CGI �,IIS ���, RPC ���, SSL信息探測
- SQL-Server,FTP-Server,SMTP-Server POP3-Server探測
- NT服務器弱密碼探測
等���。
(5) SNETCracker
開源地址:https://github.com/shack2/SNETCrackerWindows平臺的弱口令審計工具����,支持批量多線程檢查,可快速發現弱密碼、弱口令賬號���,密碼支持和用戶名結合進行檢查,大大提高成功率,支持自定義服務端口和字典。
Allscanner
地址:github.com/aedoo/Allscanner
使用Python編寫,支持:
- 21 FTP 弱口令檢測
- 139 LDAP 未授權訪問檢測
- 1433 MSSQL 弱口令檢測
- 3306 MYSQL 弱口令檢測����、未授權訪問檢測
- 11211 MEMCACHED 未授權訪問檢測
- 6379 Redis 未授權訪問檢測
- 27017 MongoDB 未授權訪問檢測
- 9200 Elasticsearch 未授權訪問檢測 1521 Oracle 弱口令檢測
示例:
python allscanner.py -i 192.168.1.1/24 -t 200
(6) 其它掃描類工具:
- patator 暴力破解SSH
- BrutesPray 破解SSH
- ntscan
- htpwdScan
- HScan
- X-crack
- tomcat-weak-password-scanner
另外還有一些針對 網絡攝像頭弱口令掃描���、WIFI弱口令掃描����、Jenkins���、 oracle����、 zabbix弱密碼、RDP攻擊等掃描工具�,這里不再一一列舉���。
四、一些破解詞典生成工具
上面的檢測工具,很重要的一環是要生成破解詞典。
- crunch
- pydictor
- Wyd
- CeWL v5.1
- RSMangler
- AWLG
這個國產有很多密碼生成字典���,下載使用時注意先殺毒。
在今天的jQuery教程中���,我們將介紹如何使用jQuery和其它相關的插件來生成一個漂亮的帶有密碼強度檢驗的注冊頁面,希望大家喜歡����!
相關的插件和類庫
主要功能
代碼說明
HTML:
<div id="page-wrap"><div id="title">注冊新賬號 - gbtags.com</div><p><input type="text" name="email" id="email" placeholder="電子郵件"/></p><p><input type="password" name="password" id="password" placeholder="輸入密碼"/></p><div id="complexity"></div><p><input type="button" name="submit" id="submit" value="注冊" /></p><p id="msgbox"></p></div>
添加電子郵件和密碼輸入框���,及其密碼強度組件���。
Javascript:
導入所需的類庫�,包括:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js"></script><script src="js/jquery.complexify.js"></script><script src="js/jquery.placeholder.min.js"></script><script src="js/raphael.2.1.0.min.js"></script><script src="js/justgage.1.0.1.min.js"></script>
以下為生成儀表盤及其密碼強度代碼:
$(function(){$('#submit').attr('disabled', true);var g1=new JustGage({ id: "complexity", value: 0, min: 0, max: 100, title: "密碼強度提示", titleFontColor: '#9d7540', valueFontColor : '#CCCCCC', label: "points",levelColors: [ "#dfa65a", "#926d3b", "#584224"] ?});$('input[placeholder]').placeholder();$("#password").complexify({}, function(valid, complexity){if(valid){$('#submit').fadeIn();}else{$('#submit').fadeOut();}g1.refresh(Math.round(complexity));});$('#submit').click(function(){$('#msgbox').html('welcome to gbtags.com');});});
以上代碼中,我們使用JustGage生成需要的儀表盤。相關選項請參考代碼�。
以下代碼中���,我們使用complexify的回調方法來判斷用戶輸入的密碼強度是否符合要求:
$("#password").complexify({}, function(valid, complexity){if(valid){$('#submit').fadeIn();}else{$('#submit').fadeOut();}g1.refresh(Math.round(complexity));});
如果符合則顯示注冊按鈕�,否則隱藏����。同時刷新儀表盤的數值和顏色�。
CSS代碼:
body{background: url('../images/body.png');}#container{background: url('../images/bg.jpg');padding: 30px;margin-top: 150px;box-shadow: 0px 0px 30px #9d7540;border-radius: 5px 5px 0px 0px;}#page-wrap{margin: 0 auto;width: 310px;text-align: center;font-size: 14px;padding:0px;font-family: Arial;}P{margin: 20px 0;padding:0;}#title{width: 292px;margin: 20px 0;font-size: 14px;font-weight: normal;font-family: Arial;color: #a27942;text-align:left;border-left: 4px solid #6e522d;border-right: 6px solid #303030;border-radius: 5px;padding: 12px 5px;background: #303030;box-shadow: 0px 0px 10px #4f3b20;}#msgbox{color: #808080;}input{width: 300px;height: 40px;box-shadow: 0px 0px 10px #4f3b20;border-radius: 5px;font-size: 14px;font-weight: normal;margin:0;padding: 0 5px;border: 1px solid #606060;font-family: Arial;background: #303030;color: #CCC;}#complexity{width: 302px;padding: 5px 5px;font-size: 18px;font-weight: bold;margin: 0px;box-shadow: 0px 0px 10px #4f3b20;border-radius: 5px;color:#CCC;background: #303030;}#submit{display: none;width: 310px;}#gbin1{padding: 15px 0px;text-align: center;background: #101010;color: #909090;font-size:12px;font-family: Arial;border-radius: 0px 0px 5px 5px;box-shadow: 0px 0px 20px #4f3b20;}#gbin1 a{font-family: Arial;font-size:12px;color: #909090;text-shadow: 1px 1px 25px #fff;text-decoration: none;}
代碼書寫完畢����,如果需要查看完整代碼�,請下載演示。希望大家喜歡這個實現�!如果你有任何意見和建議請給我們留言����,謝謝���!
原文鏈接:http://www.gbtags.com/gb/share/5889.htm
