<pre id="vvttv"><mark id="vvttv"><progress id="vvttv"></progress></mark></pre>
    <pre id="vvttv"></pre>
      <p id="vvttv"></p>

          

          <p id="vvttv"></p>
                <p id="vvttv"></p>
                

                <pre id="vvttv"><cite id="vvttv"><progress id="vvttv"></progress></cite></pre>
                  
<output id="vvttv"><dfn id="vvttv"><th id="vvttv"></th></dfn></output>
                    <p id="vvttv"></p>
                    
				
                    原文地址:http://drops.wooyun.org/papers/234
                    
				
      
                    
        
                    0x00 什么是弱口令
                    


                    


                    弱口令(weak password) 沒有嚴格和準確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。
                    


                    弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”等,因為這樣的口令很容易被別人破解,從而使用戶的互聯網賬號受到他人控制,因此不推薦用戶使用。 
                    


                    0x01 為什么會產生弱口令
                    


                    


                    這個應該是與個人習慣相關與意識相關,為了避免忘記密碼,使用一個非常容易記住的密碼,或者是直接采用系統的默認密碼等。
                    


                    相關的安全意識不夠,總認為不會有人會猜到我這個弱口令的。
                    


                    0x02 弱口令的危害
                    


                    


                    在當今很多地方以用戶名(帳號)和口令作為鑒權的世界,口令的重要性就可想而知了。
                    


                    口令就相當于進入家門的鑰匙,當他人有一把可以進入你家的鑰匙,想想你的安全、你的財物、你的隱私。
                    


                    因為弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家門鑰匙放在家門口的墊子下面,是非常危險的。
                    


                    那么互聯網上到底存在多少弱口令或默認密碼呢?
                    


                    截止到寫此文章開始,烏云提交平臺上弱口令相關漏洞已經多達778個,除了泄露數據以外,其中不少可以利用弱口令而獲取服務器權限。
                    


                    enter image description here
                    


                    這里上報的漏洞,大部分僅僅是后臺管理,運維服務器等弱口令。
                    


                    那么網民的個人賬號呢?
                    


                    從11年CSDN明文密碼泄露后,相繼幾個大互聯網企業用戶數據泄露。
                    


                    由于非常多的網民互聯網上賬號密碼通用,導致一家數據泄露,網民在互聯網上的其他賬號也受到牽連。
                    


                    作者認為你的密碼在表面上不是弱口令,但是已經被其他人獲知,也可歸屬為弱口令范圍了。
                    


                    再看一下烏云上的案例:
                    


                     WooYun: 豆瓣網帳號暴力破解漏洞,測試1萬,成功391個 
                    


                     WooYun: 貓撲驗證碼設計缺陷,掃號10萬,成功破解782個 
                    


                     WooYun: 1號店暴力破解,測試1萬帳號,成功破解125個 
                    


                    看完你應該知道,事情過了這么久,在多家互聯網廠商通知用戶修改密碼的情況下,仍然有很多用戶沒有修改常用密碼。
                    


                    0x03 解決辦法
                    


                    


                    針對后臺或者網絡管理員的弱口令比較好解決,強制對所有的管理系統賬號密碼強度必須達到一定的級別。
                    


                    不可在使用簡單的admin、123456等弱密碼了。附贈一個常用密碼的列表,供各位自行搜索自己常用的弱口令是否在里面(禁止用作非法用途)。
                    


                    弱口令top100:
                    


                    123456789
a123456
123456
a123456789
1234567890
woaini1314
qq123456
abc123456
123456a
123456789a
147258369
zxcvbnm
987654321
12345678910
abc123
qq123456789
123456789.
7708801314520
woaini
5201314520
q123456
123456abc
1233211234567
123123123
123456.
0123456789
asd123456
aa123456
135792468
q123456789
abcd123456
12345678900
woaini520
woaini123
zxcvbnm123
1111111111111111
w123456
aini1314
abc123456789
111111
woaini521
qwertyuiop
1314520520
1234567891
qwe123456
asd123
000000
1472583690
1357924680
789456123
123456789abc
z123456
1234567899
aaa123456
abcd1234
www123456
123456789q
123abc
qwe123
w123456789
7894561230
123456qq
zxc123456
123456789qq
1111111111
111111111
0000000000000000
1234567891234567
qazwsxedc
qwerty
123456..
zxc123
asdfghjkl
0000000000
1234554321
123456q
123456aa
9876543210
110120119
qaz123456
qq5201314
123698745
5201314
000000000
as123456
123123
5841314520
z123456789
52013145201314
a123123
caonima
a5201314
wang123456
abcd123
123456789..
woaini1314520
123456asd
aa123456789
741852963
a12345678

                    


                    而針對泄露的數據庫,導致網民通用的互聯網賬號都被盜的情況,除了教導網民修改常用密碼,網站密碼盡量不通用之外。
                    


                    互聯網企業也可做一些技術上的限制,防止批量驗證賬號的行為。
                    


                    例如統一登錄接口,頻繁登陸錯誤觸發驗證碼,單位時間內驗證的過多封殺ip等等多個維度做限制。
                    


                    相信很多互聯網企業安全人員已經與批量撞號來獲取用戶價值的人搏斗很久了:) 加油~!
                          
                    
    
			

                      <pre id="vvttv"><mark id="vvttv"><progress id="vvttv"></progress></mark></pre>
                      <pre id="vvttv"></pre>
                        <p id="vvttv"></p>

                            

                            <p id="vvttv"></p>
                                  <p id="vvttv"></p>
                                  

                                  <pre id="vvttv"><cite id="vvttv"><progress id="vvttv"></progress></cite></pre>
                                    
<output id="vvttv"><dfn id="vvttv"><th id="vvttv"></th></dfn></output>
                                      <p id="vvttv"></p>
                                      

这里只有精品视频