浅析弱口令

0x00 前言

弱口令其实是长期以来一直存在的问题，直到今天我们还能经常听某个著名厂商公司因为存在弱口令问题而导致大量内部或外部用户信息泄露，甚至商业计划和机密泄露，所以一个安全密码设置的重要性不言而喻，涉及密码，不得谈到密码的强弱，当然强弱密码的区分没有一个严格明确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或容易被破解工具破解的口令均为弱密码，在此我粗略谈谈弱密码方面，也就是我们经常说到的弱口令。

其实设置密码的强弱很大程度上与这个人的个人习惯和安全意识有关，当然还是受其他的因素的影响，比如公司出于安全考虑要求设置强密码等其他强制硬性要求，个人觉得弱口令可以大致分为两类，一类就是公共弱口令，另一类就是个人弱口令。

0x01 公共弱口令

公共弱口令也就是根据大量的密码数据统计得出的出现频率较高弱口令，关于这方面的弱口令统计结果有很多，在此我就列举一些出现频率比较高的公共弱口令：

0x02 个人弱口令

个人弱口令往往与这个人的个人信息（姓名，生日，手机号，特殊昵称，爱好，社交软件账号，常用username,邮箱...），关系成员（家庭成员，男女朋友...），所处环境（车牌号，公司信息比如公司名称，公司成立时间或地点，公司domain等...），还有特殊的指定字符（数字，单词...），在这里我也列举一些经常出现的组合：

另提示一点:当系统要求密码组合必须包含大写字母时候，根据中国人密码设定习惯，会有83%的人将大写字母，且是唯一存在的大写字母放在第一位。

0x03 弱口令生成

关于弱口令生成可以利用相关工具或者脚本，工具的话网上有很多，可以自行搜索下载，在这里我提供自己写的python小脚本，如果有需要请自行修改，仅作参考：

提醒一点就是如果你添加的信息越多，组合方式越多，那么生成的字典就越大，要考虑储存的容量问题。同时也推荐使用cupp.py和crunch。

0x04 后话

欢迎大家补充:P

转载请注明来自4ido10n's Blog文章《浅析弱口令》