Python密碼攻擊測試是怎樣的

這篇文章將為大家詳細(xì)講解有關(guān)Python密碼攻擊測試是怎樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

密碼攻擊可能是暴力破解中最常見的一種類型，廣泛的被使用在滲透測試的各個領(lǐng)域，比如Web應(yīng)用、WiFi密碼破解等。密碼攻擊又稱為口令攻擊，只要攻擊者獲得了用戶的密碼口令，就能夠獲取用戶所擁有的所有權(quán)限。而密碼攻擊的一個主要方式就是字典攻擊，通常在通過網(wǎng)站的掃描探測器掃描到了網(wǎng)站的后臺目錄，就可以使用字典進行密碼測試了。

至于為什么使用字典進行密碼攻擊，當(dāng)然，是因為很多用戶選擇設(shè)置弱口令密碼來方便記憶；網(wǎng)站越來越多，需要注冊的也越來越多，為了方便記憶，很多人為了省事，直接就使用什么“123456”、“qq123456789”、“zxs5201314”之類的密碼，或者使用生日作為自己的密碼。這樣的密碼方便是方便了，就是有點不安全。

通過字典進行的密碼攻擊，使用的字典文件通常是基于常用的英語單詞、漢語拼音、數(shù)字和數(shù)字諧音來構(gòu)建，以及基于上述的密碼類型進行變形的字符、單詞、數(shù)字等；

基于字典的密碼攻擊雖然是直接依賴字典，但也有一些策略可循

• 垂直掃描，對一個用戶名進行所有的密碼測試；
  根據(jù)一個獲取到的用戶名，應(yīng)用于字典中的所有密碼口令；

• 水平掃描：對多個用戶名進行常見的密碼測試；
  對獲取到的一批用戶名，使用最常見的弱口令進行測試，比如“123456”。

• 對角線掃描：對不用的用戶名和不用的密碼進行遍歷密碼測試；
  對所有的用戶名進行字典中所有的密碼的測試，這個通過遍歷來實現(xiàn)。

• 三維掃描：使用上述三種掃描方式結(jié)合分布式的代理IP進行密碼測試；

• 四維掃描：基于上述四種方式，再設(shè)置時間間隔延遲進行掃描；

密碼的設(shè)置規(guī)則，定義了密碼質(zhì)量的底線；

• 密碼長度
  禁止短密碼的設(shè)置；

• 區(qū)分大小寫：將大小寫字母進行組合；

• 允許多種字符：字母、符號、數(shù)字等
  大寫字母、小寫字母、特殊符號加數(shù)字的組合；

• 禁止重用：重設(shè)密碼時禁止使用曾經(jīng)使用過的密碼；
  對過去使用過的密碼，拒絕在重設(shè)密碼的使用；

• 設(shè)置密碼黑名單：禁止使用黑名單中的密碼，比如123456，5201314等；

一些賬戶的策略，則能夠有效提高賬戶安全：

• 定期進行密碼修改；
  設(shè)置一個固定的時間間隔，當(dāng)超過這個時間間隔，提醒用戶修改密碼；

• 密碼錯誤一定次數(shù)之后進行鎖定；
  現(xiàn)在很多站點已經(jīng)添加了這個策略，在輸入密碼錯誤一定次數(shù)之后，將賬戶鎖定一定的時間。

關(guān)于Python密碼攻擊測試是怎樣的就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。