主页 > 生活 > 反思网络安全——再谈弱密码

反思网络安全——再谈弱密码

服务器被入侵了,弱密码惹的祸!

个人一向对弱密码很反感,甚至有一种职业强迫症,看到别人电脑administrator账户登录,并且不设置密码的时候,总是想着去说教……

曾经做实验,用密码生成器生成了一个120G的字典文件,然后进行破解5~10位的各种密码,可惜当时没有记录实验报告,记得5~6位的数字密码,瞬间告破了,7~10位好像如果手动选择密码位数,破解起来也很快。

当网站首页被改后,我才发现一个ftp账户密码账户被破解了,而这个账户的密码竟然是我设置的!!!这是不可原谅的失职!首先没有设置好账户名,其次没有设置安全密码!

暴力破解,总是最简单的入侵方法之一;生活中,可以利用的比比皆是,搜一个无线节点,连上去,暴力破解路由器的账户密码,一般路由器就基本的那些默认用户名,而且绝大部分都不改密码,就算是改,也很简单,只要挂上稍微好点字典,几乎是几分钟就能搞定的…

当某一账户密码被破解之后,比如邮箱账户密码,损失的不仅仅是一个邮箱:根据绝大多数人的习惯,喜欢用一个属于自己的ID,以及同一个密码;那么,google下你的这个ID,基本上论坛账户、其他邮箱、淘宝支付宝、甚至留下的QQ都可能被破解!

这不是危言耸听,我有过这样的入侵记录:在局域网用嗅探软件,嗅探到某人的ID以及Password,然后通过搜索这个ID,我登陆到他注册的别的博客论坛,看到他留在论坛的QQ,我用同样的密码登陆了他的QQ,最后进入了QQ邮箱、QQ空间、校内等……

改变习惯很难,改变一个长期养成的习惯更难!!!但这是必须的,比如我,以前一直用同一个ID,现在我常用的ID有6个,每一个ID是用同一个密码,不重要的论坛ID用的是最简单密码,但是我的QQ、邮箱、淘宝、支付宝,全部是用了不同的密码,并且都是20位左右,带有大小写、特殊符号、数字!这样虽然麻烦了一点,但是却能保护到你的重要信息。

现在的傻瓜黑客工具太多,更本不是以前的那种发现一个从前没有的漏洞后入侵了,而是不停的扫3389,22,135,3306,21等端口,然后尝试用弱口令账户登录。或者知道了用户名,直接暴力破解!其实这些攻击手段,只要改了这些端口,然后开启防火墙就能杜绝大部分。

但是遇到资深一点的黑客,如果服务器防护的很好,没有漏洞和端口可以入侵,黑客就会尽可能的收集相关资料,包括网站管理员QQ、邮箱,然后google搜索下,这些邮箱QQ在哪些论坛注册过,是否谈及过网站内容等等….然后综合这些信息分析。或者故意发帖子问——“我的22端口老是被扫描,怎么办”引导管理员的账户进行回答,然后一步一步套出管理员的ssh端口改成了什么….这学名貌似叫社会工程学!当初,我就是这么骗到学校论坛服务器信息的。

当黑客知道真正的端口,还是会暴力破解的,如果是弱密码,被攻陷是迟早的事情……!

写的太乱,懒得整理,就这样了~弱密码不能要…特别是服务器弱密码…

 

 

原创文章,转载请注明: 转载自三叶草

本文链接地址:https://www.anjing.me/678.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

发表评论

邮箱地址不会被公开。

*

引用:0

下面所列的是引用到本博客的链接
反思网络安全——再谈弱密码 来自 三叶草
顶部