三種最為常見的方法:
(1)猜解簡單口令:很多人使用自己或家人的生日、電話號碼、房間號碼、簡單數字或者身份證號碼中的幾位;也有的人使用自己、孩子、配偶或寵物的名字;還有的系統管理員使用“password”,甚至不設密碼,這樣黑客可以很容易通過猜想得到密碼。(2)字典攻擊:如果猜解簡單口令攻擊失敗後,黑客開始試圖字典攻擊,即利用程序嘗試字典中的單詞的每種可能。字典攻擊可以利用重復的登錄或者收集加密的口令,並且試圖同加密後的字典中的單詞匹配。
黑客通常利用壹個英語詞典或其他語言的詞典。他們也使用附加的各類字典數據庫,比如名字和常用的口令。
(3)暴力猜解:同字典攻擊類似,黑客嘗試所有可能的字符組合方式。壹個由4個小寫字母組成的口令可以在幾分鐘內被破解,而壹個較長的由大小寫字母組成的口令,包括數字和標點,其可能的組合達10萬億種。如果每秒鐘可以試100萬種組合,可以在壹個月內破解。
概述
現在很多地方都以用戶名(賬號)和口令(密碼)作為鑒權的方式,口令(密碼)就意味著訪問權限。口令(密碼)就相當於進入家門的鑰匙,當他人有壹把可以進入妳家的鑰匙,想想妳的安全、妳的財務、妳的隱私…例如網站後臺、數據庫、服務器、個人電腦、QQ、郵箱等。
口令安全現狀
弱口令
類似於123456、654321k admin123 等這樣常見的弱密碼。
默認口令
很多應用或者系統都存在默認口令;如phpstudy的mysql數據庫默認賬密[root/root],Tomcat管理控制臺默認賬密[tomcat/ tomcat]等。
明文傳輸
如HTTP、FTP、TELNET等服務,在網絡中傳輸的數據流都是明文的,包括口令認證信息等。這樣的服務,有被嗅探的風險。