常见的弱密码分为默认型弱密码和社工型弱密码。
一.默认型弱口令1 .系统服务弱密码sshftptelnetsnmp 2.应用组件弱密码tomcatweblogicredismysqlmongodbrsyncmemcache3.应用组件弱密码
TP-linkt终端链接存储器(2)安全设备的弱密码
绿盟(weboper/nsfocus123 )天融信(superman/talent )深以为然(admin/Admin@123 )华为(admin/Admin@123 )启明星辰) admin/venus
海康威视(admin/12345 )大华监控设备) admin/admin)爆破型弱密码) )。
4 .怎样才能找到网上的这些设备? 参考URL1:https://www.shodan.io/
网站https://www.zoomeye.org/
二.社工型弱口令直接社工获取名字生日组合规则的密码组合的情况:根据whois信息反向检测邮件地址密码,登录域名提供商,登录域名提供商
案例:社工请知乎管理员发布密码,第三方登录知乎后台。
大企业员工很多,员工的安全意识很分散,很多人不更改默认密码。 另外,内部邮箱一般邮件内容很重要,可能会导致大量的内部系统和服务器崩溃。 通常,代码漏洞很容易修复。 很快发现安全问题,找到开发人员就能修复,但修复人的漏洞很难,对大企业来说更要重视员工安全意识的培养。 另外,攻击者可以利用被攻击者的短信保险箱获取认证码等信息间接修改被攻击者的密码,也可以利用Burp Suite暴力解密认证码。
三.如何防止弱口令不使用弱密码的密码等级制度密码不包含个人身份信息为了尽可能增加密码的复杂性(大写、小写、数字、特殊字符),在一定时间内不更改密码进行保存