- 综合排序
- 最热优先
- 最新优先
- 来自专栏本体研究院
世界密码日 | 警惕!你的密码是“弱密码”吗?
这导致了同一个口令在不同服务中重复使用的情况出现以及很多弱口令的存在。这大大降低了口令的强度,影响了口令的安全性。 一方面,口令的安全性受限于用户选择口令的强度。 据知名分析公司 SlashData 等调查,“123456”、“qwerty”以及“password”等都是常见的弱密码。其中“123456”更是弱密码排行榜上长居榜首。 弱口令几乎等同于没有口令,很容易被在线/离线猜测攻击攻破。 常见弱口令示例,来自维基百科 另一方面,口令的安全性受限于服务提供商的安全性。 对于普通用户来说,首先避开姓名生日组合、“123456”等弱口令,选择一定强度的口令。一般来说,挑选一定长度随机字符值来作为口令会使得口令强度大大增加。另外,在不同网站上应该采用不同的口令。 最后的最后,世界密码日快乐!
2.2K31发布于 2020-05-19 - 来自专栏云计算D1net
企业如何抵御弱云密码
弱密码对于依靠云服务的企业来说是一种常见的威胁。专家Dejan Lukan总结了一些关于密码的最佳实践。 云服务在过去几年如雨后春笋般崛起,并被大量的个人和公司广泛使用。 弱云密码 有这么多可以通过某种凭证,例如一个密码、一个PKI密钥或别的什么方式来访问的云服务,自然也让攻击者有了很多的机会来获取云服务的访问。 在大多数情况下,只要提供正确的密码就可以从世界任何地方,通过互联网来访问云服务。这就是为什么他们是单点故障;弱的云密码可以被黑客轻易取得来获得对云服务的访问。 要防范弱密码的问题,我们在设置或更改密码时使用最佳的密码安全措施是非常重要的,这包括: 初始密码:如果密码是由第三方设定为一个初始的默认值,请重置它,这样它就不会被存储在历史或缓存的某处,导致整体安全性降低 密码最短长度:密码长度应至少8位,虽然我们通常建议更长的密码。为了安全起见,造一个句子来作为你的密码。 密码强度:密码应该同时使用小写和大写字母,数字和特殊字符。
1.5K50发布于 2018-03-23 - 来自专栏腾讯云安全的专栏
弱密码、空密码、明文密码威胁企业安全,腾讯NTA出手解决
在信息化高度发展的今天,从涉及国民经济的金融交易、防伪税控,到涉及公民权益的电子支付、网上办事等,密码的应用深入到社会生产生活的各方各面,随之而来的密码爆破、弱密码、空密码、明文密码等密码安全问题也日益严峻 针对黑客入侵事件中最突出的密码安全问题,将此类风险合并为“密码安全”专题,可以直观展示弱密码风险、空密码风险(未授权访问)、明文密码风险三类密码风险,方便政企机构安全运维人员掌握全网密码管理现状,并提供直观有效的密码安全检测管理平台 (腾讯高级威胁检测系统密码安全专题页面) 针对三类不同的密码风险,腾讯高级威胁检测系统分别提供了不同的应对措施: 弱密码风险,一般指密码设置过于简单。 腾讯高级威胁检测系统支持“规则模式”和“字典模式”两种不同的自定义弱密码配置,以满足不同企业对密码强度的要求。其中,“规则模式”用于快速设置检测规则,可匹配大多数企业的密码强度策略要求。 “字典模式”则可以对接企业人事系统等,更细粒度地设置弱密码的内容。 空密码风险,通常也称为未授权访问。
3.2K30发布于 2021-09-07 - 来自专栏2024年网络安全宣传周
网络安全宣传周 - 弱密码
因此,深入研究弱密码问题,加强密码安全管理,对于保障网络安全至关重要。二、弱密码的现状(一)普遍性弱密码在网络世界中非常普遍。 如果密码在字典中出现,就说明是弱密码。密码强度检测:通过分析密码的长度、复杂度、随机性等因素,评估密码的强度。如果密码强度较低,就说明是弱密码。 社会工程学攻击:通过分析用户的个人信息、行为习惯等,猜测用户的密码。如果密码容易被猜测,就说明是弱密码。(二)弱密码修复措施强制用户修改密码:如果检测到用户的密码是弱密码,系统可以强制用户修改密码。 七、弱密码的未来发展趋势(一)人工智能在弱密码检测中的应用随着人工智能技术的发展,人工智能可以在弱密码检测中发挥重要作用。 这将促使企业和用户更加重视密码安全,减少弱密码的使用。八、结论弱密码是网络安全的一个重大隐患,给个人、企业和社会带来了严重的风险。
49310编辑于 2024-09-05 - 来自专栏FreeBuf
关于弱密码摄像头被入侵实验
前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 实现这一目的共分两步:一、获得IP,二、验证存在弱密码。 对于第一步,我们通过zoomeye提供的api可以获取大量该设备的ip地址,然后将这些ip保存到本地。 然后通过逐个访问IP列表,并提交账号密码,通过返回值判断该ip摄像头是否真的存在弱密码。 通过一个简单的脚本,运行测试。 ? 很快就找到了几个存在弱密码的摄像头,登录验证,果然可以直接查看内容。 ? 至此,已确认IP摄像头弱密码情况确实非常严峻,实验部分到此结束。 改进措施 家中装有摄像头设备的,因注意以下几点: 1.应确保修改默认密码,设置强度较大的密码。 像此类摄像头弱密码问题也是时间差导致的安全隐患,是当年厂家并没有预料到大量用户使用默认密码,也没有采取强制修改密码的防范措施导致的。
2.2K60发布于 2018-02-28 - 来自专栏FreeBuf
马老师聊安全 | 弱密码的防御与检测
不过弱密码其实是一个双面词汇 入侵角度:黑客利用弱密码去爆破系统,实现登录终端或管理系统等 防御角度:安全人员防止用户设置弱密码,阻止黑客利用弱密码获取系统权限 但回想下弱密码防御思路,明显会发现防御和入侵的不对等性 有了这个共识,接下来我们聊聊企业安全的弱密码安全实践。其实就是以此为基础阻止用户设置弱密码并发现黑客的弱密码爆破行为。 弱密码库的构建 根绝我们的分析,我们已经知道了防御弱密码库的构建思路,防御弱密码库= 1、简单密码 + 2、历史密码 +3、社工密码,下面看下具体怎么构建。 ,这个我们需要在我们原有的模型上加上账户数据,将账户数*弱密码在弱密码表的次数=阈值>M即可 2、单一密码不在弱密码表中,这个就需要独立分析了,统计使用同一密码的使用账户数>M即可 综上,我们说了弱密码库的思路 ,也讨论了防御角度弱密码库的构建、弱密码的检测、弱密码攻击的发现。
99040发布于 2018-07-30 - 来自专栏云计算教程
弱密码检测又没过?教你一键设置高强度随机密码
有时候为了简单,总喜欢设置123456的弱密码,但是这种密码过于简单,不太安全。不过设置高强度的复杂密码也是一个“麻烦事”,下面给你们总结了几种常用的命令方式。 方式一# 设置随机密码[root@www.lutixia.cn ~]# cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16 # 设置密码,并修改root管理员密码 tee /tmp/pwd.txt | passwd --stdin root方式二[root@www.lutixia.cn ~]# yum install expect -y# 打印16位数的随机密码 ,-l 16表示密码长度为16,-d 2至少包含2个数字,-C 5至少包含5个大写字母,-s 2至少包含2个特殊字符[root@www.lutixia.cn ~]# mkpasswd -l 16 -d 2 -C 5 -s 2MdvM{Snjc13.tvXR方式三[root@www.lutixia.cn ~]# yum install pwgen -y# 打印5个16位数的随机密码,-1表示竖向打印
1.6K10编辑于 2022-09-05 - 来自专栏FreeBuf
2018弱密码TOP 100出炉:123456再次卫冕
2018年眼看着就要结束了,SplashData 一年一度的弱密码TOP 100榜单也终于公布了。 依照前几年弱密码榜单的情况来看,被使用最多的弱密码一般也不会发生太大的位置变化,2018年弱密码TOP 100榜单中,网红弱密码“123456”再次卫冕。 ? @#$%^&* 21 charlie 22 aa123456 23 donald 24 password1 25 qwerty123 如果对前几年弱密码榜单有印象的话,你会发现“123456”又成为了最受欢迎的弱密码 例如,排在第23位的“donald”,没想到现任总统特朗普以这样的方式成为年度弱密码榜单上的“新客”。 弱密码的危害不言而喻,越来越多的网站已经开始主动禁止用户使用“admin”、“123456”等常见弱密码。
1.2K40发布于 2018-12-27 - 来自专栏云原生生态圈
用 Go 写的轻量级 OpenLdap 弱密码检测工具
弱密码检查 默认情况下,在ldap中创建用户,并没有密码复杂度的约束,因此对已存在ldap服务中使用弱密码的账号有什么好办法能获取出来吗? ldap的账号一旦创建,就看不到密码了,如果用弱密码字典模拟登录的话,是否可行呢? 创建一个检查密码的函数CheckPassword,通过逐行读取弱密码词典的数据进行的模拟登录,从而找到ldap中使用弱密码的账号: func CheckPassword(employe string) { // 遍历的弱密码字典 f, err := os.Open("~/dict.txt") if err ! check have aleardy finished. and the password is stronger well.") } 结合前面说的遍历账号,拿到所有的账号的信息,然后模拟登录,如果命中了弱密码字典中的密码
1.4K10发布于 2021-10-14 - 来自专栏黄希彤的专栏
JS做一个弱弱的弱缓存
在阮一峰那里看到ES2021支持弱引用了,因此现在在版本比较高的node上也可以用弱引用很方便的实现一个弱缓存了: const weakCache = new Map();//弱缓存,当占用内存太多的时候系统会自动回收 value) weakCache.set(key, new WeakRef(value)); }else{ console.log("js版本太旧不支持弱引用") } } function
2K30编辑于 2022-03-30 - 来自专栏FreeBuf
一记组合拳,批量SSH弱密码爆破检测工具分享
正文 批量爆破SSH登录密码的流程其实很简单。首先探测对方主机是否开启22端口,如开启,则尝试进行SSH密码爆破。这里用到两款强大的开源工具。 /password.txt -t 6 -vV 192.168.0.12 ssh | grep "host:" 这条命令的含义是采用密码本. /password.txt中的密码,对IP地址为:192.168.0.12的主机进行密码破解。grep “host:”用来过滤打印的输出,只输出破解到密码的条目。 运行很方便,下面是运行图,在内网环境下破解了3台主机的密码: ? 当然,能否破解成功,有一个好用的工具固然重要,但还需要一个强健的密码本。 在为密码本烦恼的宝宝们,也不用担心,已经有人总结好最常用的密码条目。
2.7K20发布于 2018-07-30 CVE-2025-13532漏洞详解:Fortra BoKS中的弱密码哈希算法风险
(BoKS)服务器代理组件中的不安全默认设置可能导致选择弱密码哈希算法。 根本原因是不安全的默认设置,允许选择弱密码哈希算法,特别是涉及yescrypt支持的情况。yescrypt本意是一种现代密码哈希方案,但在此处的配置中计算强度不足。 由于该漏洞涉及密码哈希的默认设置,具有本地访问权限的攻击者可能因哈希参数较弱而更有效地提取哈希密码并进行离线破解。目前没有公开的漏洞利用代码或补丁可用,这强调了管理员需要主动进行配置审查和缓解措施。 由于BoKS用于管理敏感凭据和特权账户,弱密码哈希增加了具有本地访问权限的攻击者获取哈希密码并进行离线破解的风险,从而导致对关键系统的未授权访问。这可能助长横向移动、权限提升和数据泄露。 在官方补丁发布之前,考虑在可能的情况下应用配置强化或禁用弱哈希默认值。通过严格的访问控制、监控和日志记录来限制对BoKS Server Agent主机的本地访问,以检测未授权访问尝试。
26410编辑于 2025-12-21- 来自专栏用户1880875的专栏
硬核观察 | 弱密码“solarwinds123”可能是导致 SolarWinds 事件的攻击入口
弱密码 “solarwinds123” 可能是导致 SolarWinds 事件的攻击入口 image.png SolarWinds 的一名实习生曾经使用密码 “solarwinds123”,并将其发布到 2019 年时安全研究人员在互联网上发现了这个密码,并警告该公司它暴露了 SolarWinds 的文件服务器。而该公司 CEO 最近在听证会上承认,该密码在 2017 年就在内部使用了。 听证会上,有众议员强烈批评了该公司,“我有一个比 ‘solarwinds123’ 更强的密码,以阻止我的孩子在 iPad 上看太多 YouTube! ” 虽然不确定是不是因为这个或其它的弱密码而导致的入侵,但是很有可能就是因为内部管理缺位导致的渗透。 大家来说说,你们内部系统的密码是不是弱密码?
64820发布于 2021-09-09 - 来自专栏Gamma安全实验室
弱口令,yyds
一些自己搜集的弱口令 在渗透企业资产时,弱口令往往可达到出奇制胜,事半功倍的效果!特别是内网,那家伙,一个admin admin或者admin123 拿下一片,懂的都懂。 当你还在苦恼如何下手时,我却悄悄进了后台,getshell了 以下是我实战中,经常遇到的一些口令,希望大家记好笔记,弱口永远的0Day,文末有常用字典,和查询网站。 ? 用户名:admin 密码:admin 用户名:tomcat 密码:tomcat 用户名:tomcat 密码:s3cret Apache axis2 axis2同样和tomcat有web控制台 ? 默认账号密码guest/guest admin/admin 再奉上常见的弱口令查询网站(怎么叫弱口令勒? admin +-ccccc admin cyouadmin Websense邮件安全网关 administrator admin 梭子鱼邮件存储网关 admin admin 弱口令好不好用
4.2K10发布于 2021-01-12 - 来自专栏Y5neKO博客
记一次网站备份+弱密码无技术渗透(误)整个服务器过程
数据库是不能用了,但是从他默认的后台地址是没有改的,我们可以用默认密码去碰一碰: 看来不是想象中的那么简单,那用刚刚的数据库密码碰一碰运气吧: 成功进入后台。。。 有时候就是这么简单的事,可以看出这个人是完全符合单一密码的心理的,知道管理员的这种心理是很重要的,在接下来的渗透过程中也同样适用。 ,我也不说什么了,账号密码什么的已经在脑中有了个大致的范围,⑧说了,开猜! 0x03 测试总结 总体来说,本次测试没有任何技术含量,姑且称这次为渗透测试(笑,实则是巧妙地利用了目前大部分人的“单一密码”准则,所谓单一密码就是某一个人的众多账号密码组合都是相同的关键词相互组合成的 ,甚至全部都是同一组账号密码,特别是针对网站管理员,只要由黑客攻破了一组密码即可一路过关斩将直捣黄龙,所以一定不要为了图方便省事而例行单一密码准则。
1.1K10编辑于 2022-01-13 - 来自专栏FreeBuf
黑客利用SSH弱密码攻击控制Linux服务器,潜在目标约十万IP天
腾讯安全工程师在征得客户同意后对客户机器进行远程取证,客户机部署在客户的私有云上,结合御界的关键日志,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒, 根据这一线索,腾讯安全御见威胁情报中心展开事件调查,结果发现,这是一起专业黑客组织发起的攻击事件:攻击者利用SSH弱口令爆破成功后会植入SSH后门以及IRCbot后门程序,并通过SSH弱口令在内网横向传播 二、详细分析 根据腾讯御界日志记录,该黑客团伙在对目标SSH服务器进行多达4千次连接尝试,最终爆破弱密码成功。 ? 由于受害SSH服务器使用了较弱的密码,在17点23分,黑客爆破成功 ? 202.136.170.27/a/b存放的是弱口令字典 ? 执行目录下的tsm传入要爆破的IP和字典 ? 爆破成功后远程执行shell脚本 ? 1、 用密钥登录,不要用密码登录 2、使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解 3、开SSH只监听本地内网IP 4、尽量不给服务器外网IP 5、推荐部署腾讯御界高级威胁检测系统
2.8K30发布于 2019-06-18 - 来自专栏腾讯安全
腾讯安全:弱口令密码再遭爆破 新型木马瞄准企业SQL数据库下手
部分网友在设置密码时会有这样的习惯,在多个平台使用同样的密码,或仅使用数字字母单一字符,用个人姓名生日进行组合等。尽管这样的弱口令密码设置方式便于联想记忆,但也给不法分子作恶留下了可乘之机。 不法黑客往往会利用弱口令,通过密码字典进行猜解爆破登陆,给用户隐私、企业安全带来严峻挑战。 近期,腾讯安全御见威胁情报中心监测到一例利用弱口令针对SQL数据库的爆破攻击事件。 同时,腾讯安全提醒企业网管务必提高安全意识,数据库被不法黑客暴力破解会导致企业关键业务信息泄露,建议尽快安装服务器漏洞补丁,并停止使用弱口令,以防作恶团伙攻击,确保企业数据和后台服务的安全性。 使用腾讯御点终端安全管理系统的漏洞修复功能,及时修复系统高危漏洞;采用高强度密码,切勿使用“sa账号密码”等弱口令,防止黑客暴力破解;同时,推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击,通过对企业内外网边界处网络流量的分析
1.4K10发布于 2019-11-22 - 来自专栏合集
弱弱地写了一篇前端教程
分享一篇最近学习总结的前端表格制作教程,先看下方截图,具体演示的功能虽然简单,不过很有实际意义,主要涵盖表格展示数据、删除数据、修改数据、分页、模态窗等常见功能,其中也涉及一些样式的调整,比如隔行变色,此类文章网上很多很多,我也看过不少,但是网上文章都存着一个问题:很多文章代码写的很笼统,跳跃性比较大,你可能哪怕有一个地方看不懂,不知道怎么修改,程序就运行不起来,得不到想要的表格效果和功能,而此篇文章,我会尽可能详细介绍我做的功能的每一步是怎么得来的,并且本文源码也完全开源分享,运行中如果有任何问题,也欢迎留言提一些建议
2K10发布于 2020-02-17 - 来自专栏混说Linux
C语言进阶小技巧,弱符号和弱引用
强符号和弱符号 在同一作用域下不能定义同一个变量或函数,很多C语言学习者都理所当然地这么认为。 对于C/C++而言,编译器默认函数和已初始化的全局变量为强符号,而未初始化的全局变量为弱符号。 在默认的符号类型情况下,强符号和弱符号是可以共存的,类似于这样: int x; int x = 1; 编译不会报错,在编译时x的取值将会是1. 强引用和弱引用 除了强符号和弱符号的区别之外,GNUC还有一个特性就是强引用和弱引用。 强/弱符号和强/弱引用的作用 这种弱符号、弱引用的扩展机制在库的实现中非常有用。 我们在库中可以使用弱符号和弱引用机制,这样对于一个弱符号函数而言,用户可以自定义扩展功能的函数来覆盖这个弱符号函数。
1.2K20编辑于 2023-02-24 - 来自专栏龙首琴剑庐
Tomcat67应用服务器-禁用RC4等弱密码套件
最典型的例子是使用FF39+访问某些网站时报错:Error code: ssl_error_weak_server_ephemeral_dh_key 或者使用IBMAppScan扫描会出现类似“检测到 RC4 密码套件 3、密码套件根据Tomcat应用服务器和jdk使用。 (修改conf\server.xml文件配置) 3.1)如:Tomcat 6或7 + jdk6 的密码套件配置示例: <Connector port="8443" protocol="HTTP/1.1 TLS_RSA_WITH_AES_128_CBC_SHA" /> 关键节点:sslEnabledpotocols、 sslProtocol 3.2)如:Tomcat 7+ jdk7 的密码套件配置示例
3K50发布于 2018-03-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号