如何定制口令字典库

admin
admin
admin
76055
文章
59
评论
2023年3月24日23:52:53评论20 views字数 931阅读3分6秒阅读模式

如何定制口令字典库

1为什么需要定制口令字典库

  • 字典库太小,评估资产有弱口令却检查不出来。
  • 字典库太大,评估时间过长,无法结束,耽误评估进度及业务、运维工作。亦或者是字典库还没遍历完任务就超时了。

2字典库形式

一:标准模式

  • 账号:口令,账号与口令一对一
    如user1:psw1,user2:psw2



二:混合模式

  • 分别定制账号库和口令库,账号与口令一对多
  • 扫描时遍历库中账号,分别于口令库中所有口令对应
    如user1:psw1,user1:psw2,user1:psw3
       user2:psw1,user2:psw2,user2:psw3

3字典库包含要素



如何定制口令字典库


3如何判断字典库是否“合格”


  • 效率
    时间不宜过长,需控制在超时时间内能遍历完所有字典库,或任务时间不影响业务、运维工作的开展。
  • 完整性
    字典库应尽量覆盖通用弱口令.几率较高的热门弱口令、评估目标组织常用弱口令、目标系统应用默认弱口令等,尽可能发现目标环境中存在的各类脆弱口令

4字典库定制流程

如何定制口令字典库

5字典库收集

  • 通用弱口令
    弱口令扫描工具内置的通用弱口令字典库
    近期公布的常见弱口令报告或弱口令排名
  • 评估模式下的特定弱口令
    评估组织业务及运维人员常用弱口令
    评估组织业务及运维人员常用弱口令
    评估目标系统组件、应用的默认账号口令
    评估目标同类业务系统的常用弱口令
    评估目标所属行业中的常用弱口令
    评估目标代维厂商的常用弱口令

6字典库形式选择

如何定制口令字典库

7字典库使用测试

  • 测试环境
    由于字典库为顺序遍历,可设置测试环境存在字典库部分弱口令的同时,将字典库最后一组弱口令设置,以验证字典库是否能正常遍历完整,测试字典遍历时间。
  • 测试目标
    在适当的评估时间内,能够正常遍历完整所有账号口令组合,并发现设置好的弱口令组合。


8实际场景中的使用调整

  • 字典拆分
    默认口令字典库
    多个特定字典库(分批扫描以缩短单任务时间)
  • 测试形式变化
    由于实际场景的调整,不同账号的重复弱口令情况增加,可适当调整为账号与口令一对多的形式进行检查

    当次扫描的环境单一,涉及的人员、 应用较少,可能的口令组合较少,可筛选调整为账号与口令一对一的形式


·END·

如何定制口令字典库

谨记责任,高歌向前



文案 | Soap

排版 | Soap

审核 | Hard Target

指导老师| Hard Target

原文始发于微信公众号(蝰蛇信息安全实验室):如何定制口令字典库

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日23:52:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何定制口令字典库 https://cn-sec.com/archives/1626313.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: