密码的一些有趣规律,(附猜密码工具源码)

1 个月前文章归档 16

目录引导一、文章引言：二、这参考性：三、有趣案例四、小小思考：五、总结规律:六、工具介绍
应该怎么样，防御猜个人的密码
一、文章引言：1、这篇稿，在很早前，我就有想写的，这次刚巧有时间，在整理导航站，工具栏，提起笔来，写一下，这么多年以来，经过授权，渗透测试过的网站，和观察到的无数的密码，他们共通的，奇妙趣点。2、我所写的东西，一般都向实用性方向走的，个人是人比较讨厌理论化的东西，坐而论道，也是比较反感，可能与经历有关，也正因为个这原因，不通俗，导致了文章的阅读量都不是很高，这次我带一些理论和实用性的案例！让文章，能够更好的理解，这些有趣的。（早期的语言组织能力确实是非常薄弱，写出来的东西，我也不是很想阅读，一般都用插图来替代了）导航栏的工具社会工程密码生成器

二、这参考性：关于参考性，我想应该有，这个能力写点东西的，原因是在早期，有企业公司和程序员，联系到我，为其公司做安全渗透测试，检测过的网站和服务器很多，我总结了几点，1、随着时间的推移，安全产业的发展，网站的代码安全性，相对来说比较不错，存在的漏洞少，2、在其中也存在个人的问题，如网站的程序员，管理员，对密码的操作管理不善，从而轻松渗透到网站提取权限，一直以来，给我的感受是，人是存在最大的漏洞所在。
三、有趣案例案例1、有位朋友，她的微信号给弄丢了，无法登录。原因是因为注册了小号，把大号的绑定给挤丢了，我首先让她冷静下来，然后细心想办法。已知信息:原微信号无绑定，无qq绑定，无邮箱绑定，一切都没有，本人申诉也失败，同时忘了密码，

解决办法:让她把他常用密码发给我，我尝试性组合出了一组密码，我先尝试登录，登录到了验证层，就把密码发给了他，他登录上了，

案例2、还有一次，在渗透域名的过程中，用姓名组合登录的那串数字，提取到了域名的管理平台权限，观察了几年的网站，啼笑皆非。

案例3、有位朋友，因为朋友关系，我也有她的几个常用的密码，她创建了小号，发布了一些文章，也存在有迹可寻的规律，我顺着规律找到了号码，通过常用的密码加组合，成功登录上账号，密码的规律是，字母XX+弱口令（让我也看到了些不该看到的东西）。

案例4、还有一位朋友，用加密的拼音9宫格，数字加密，写了个邮件给我，我盯了一眼1分钟，解了出来，被对方说我这个人挺无趣，我考虑的是，可能让对方在智商上没有碾压到，所产生的优越感，所以有些失落，应该在那儿楞个10分钟，才回复答案，给足对方信心，这是我后来复盘总结出来的。

案例5、经授权，提取手机权限。

案例6、经授权，提取手机全部权限。

四、小小思考：人性的一些行为习惯，是固定化的，这是思考本能和脑部结构的结果，为节省能量，保存体力，维持生存，这也是思维的惯性所在，个人的行为习惯和密码也是关联在一起的，以上的几个案例。我总结了很多经过授权，渗透测试过的网站或服务器，密码通常有个共通性，密码通常是一些特殊的数字组合，除了常规的通用的弱口令外，我排例如下1、姓名全接音+一串数字2、姓名接音首写+一串数字3、一些特殊寓意字母+一串数字4、常见的微信昵称，也可能是与个人有关联的寓意。

五、总结规律:1、其实在我们日常生活中，普通人常设置的，密码规则，就是，1、姓名+生日，或，2、姓名+电话，3、生日+姓名首拼，4、多多换几种组合就成功了。

2、在我们导航栏，社会工程中，有几个，猜密码的字典工具，可以尝试一下看能不能组合出自己常用的。

3、一直以来，给我的感受是，人是存在最大的漏洞所在。

六、工具介绍