我正在寻找一个工具来测试密码可以承受多长时间的黑客攻击/破解技术(例如暴力破解),因为对工作系统至关重要的两个密码是字典中的单词,另一个是字典中的单词,但使用大写字母和数字而不是字母。
我希望它是离线且免费的,你可以在计算机上运行它来查看密码的有效期。也许甚至可以在 Windows 登录提示下运行,但我意识到此类程序可能不可靠并且可能违法。
有人有什么建议吗?
答案1
如果您是管理员并且有权在您自己的网络上使用它,那么它们并不违法。
如果您已经知道密码,您可以轻松估计出它的安全性。如果是 Windows 域,您可以设置策略,在尝试输入错误 X 次后锁定帐户,并指定锁定帐户的时间;这使得暴力破解变得极其不可行。其次,如果密码不是基于字典中的单词(或单词),那么您就领先了。大写字母、小写字母、数字甚至符号的组合将使其不易被破解。
看到密码的有效期并不是一个好的估计,因为你不知道潜在的攻击者是否拥有分布式计算能力,也不知道他们拥有什么样的马力。如果你已经有一个定期更改的非字典式密码,并结合锁定策略,那么你更担心的是有人偷窥或利用社会工程手段攻击你的系统,或者使用击键记录器或嗅探器,所有这些都会使密码 @##$%@FFFES#@12 的安全性与用玻璃纸围起来的房子一样低。
答案2
锁定策略比严格的密码策略有效得多:如果您允许人们使用相对简单的密码,他们就不太可能将密码写在便签上并将其贴在键盘底面上。
只需在三次尝试后锁定帐户,并将其设置为在 90 分钟左右后自动解锁。每天 48 次密码尝试不足以进行简单的字典攻击,更不用说任何复杂的暴力破解了。日志解析应该会告诉您是否有人在成功之前就试图暴力破解密码。
答案3
关闭 LM 哈希并尽可能长地设置您的密码,最好使用密码短语(以减轻彩虹表攻击)。
LANManager 方案有几个弱点,包括将所有字符转换为大写、将密码分成 7 字节块以及不使用盐。
NTLM 和 NTLMv2 明显更难破解:诸如“这个密码非常牢靠!”这样的密码短语单从长度上讲就比“P4$$w0rd”难破解得多。
请看下面的内容以了解更多原因: http://www.ethicalhacker.net/content/view/94/24/