【安全课堂】浅谈弱口令的危害

作者简介：小齐子，千里目安全实验室首席运行官，集美貌与才华于一身，擅长拖库撰文，爱好各种黑技术。

123456，芝麻开门——浅谈弱口令的危害

故事要从一次艰难的渗透测试说起（以下案例均为授权测试），实践证明，要想进行一次完美的渗透，网站漏洞跟弱口令更配！

千里百科                                                

通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

常见弱口令有：

1、数字或字母连排或混排，键盘字母连排（如：123456，abcdef，123abc，qwerty，1qaz2wsx等）；

2、生日，姓名+生日（利用社工非常容易被破解）；

3、短语密码（如：5201314，woaini1314等）。

弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，这种行为是非常危险的。

故事背景                                                  

这是一个强大的订票系统，拥有20w注册用户

第一步 取数据

网站存在严重的SQL注入漏洞，但是却无法完整的拖取整个数据库，一直卡在“探测到大量的相应结果，请稍等一会”。于是，我等了一天，没有任何结果返回！！！

第二天，我把数据取出来了，分别拖出20w用户名和20w密码，而且每列取出来的数据是按字母和数字顺序正序排列好的，账号和密码完全无法匹配。

第二步  匹配数据

换个思路试试，上网页上看看，说不定会有新发现。工具不靠谱，只能靠我聪明的小脑瓜。先注册个账号：123456/123456，在网页上进行手工注入，用户名曝密码

union selectCustomer_Password  from customer whereCustomer_UserName = "123456"--

有数据返回！这样的话写个脚本遍历一下用户名就可以匹配到相应的密码，我真是太聪明了。

我的密码是123456，然而加密后变成7c1b80fe3ef17dc0，虽然是16位，但并不是常见的MD5加密，可见管理员心思很别致，竟然用自定义加密方法，试了多个，依然无法识别

第三步  解密数据

          得到20w无法解密的数据，对网站的实际作用为零。再换个思路想一想，我的密码是123456，那是因为我比较懒，但是我肯定不是最懒的，鉴于人们的惰性思维，弱密码肯定很多，用密码来找用户好了，先试一试万能的123456，密文是7c1b80fe3ef17dc0

union select  Customer_UserName fromcustomer where Customer_Password = "7c1b80fe3ef17dc0"--

一股洪荒之力喷涌而出，即使是我读书多，见识广，也着实受到了惊吓，粗统计一下，共有2855个用户使用“123456”作为密码！

再试试我大天朝人民最喜欢的 888888 和 666666 ，得到的用户名分别有13372个和80个，看来由于文化差异造成对数字的喜好差别还是很大的。上网搜索一下网站当地人民最喜欢的幸运数字，果然是8。记得2015年公布过最弱密码排行榜，现在取前15名进行对比（此网站要求密码6-18位，不在此范围的密码不参与评比）

由此看来，受世界欢迎的弱密码并不适用于中国国情，更不适用于地域民俗文化差异巨大的各省人民。

就该网站为试验点，调查当地人民弱密码缺省普遍性，以下给出前十名：

世界排名第二的password并没有受到国人的追捧，在网站测试中发现只有9个人使用password作为密码，国人最爱的弱密码还是连号数字以及幸运数字的叠加。

通过这种方法，我利用常见弱密码猜解到了将近一半用户的密码，随便登录试试就可以看到大量的车票、机票、酒店订单。网站内包含的信息量远远大于20w，个人信息泄露情况非常严重。

弱口令案例梳理                                       

这个案例让我想起了2015年春运前夕震惊全国的12306数据泄露事件，传闻称黑客利用“撞库”手段获取131653条用户数据。通过对网络公开的泄露数据进行分析发现，弱密码无论在任何泄密事件中都具有举足轻重的地位，以下是安全爱好者对12306泄露密码的统计结果：

其中，密码中包含有 123 数字的，出现 11213 次 ；密码中包含有 520 数字的，出现 4549 次 ；密码中包含有 123456 数字的，出现 3236 次 ；密码中包含有 1314 数字的，出现 3113 次 ；密码中包含有 aini 的，出现 877 次

如果说某公司使用弱口令做密码祸不及他人，那么管理者使用弱口令做密码造成的群体性危害又将由谁买单？

千里目安全实验室成立以来，发现多起群体性危害事件都是由弱口令导致。12月份，千里目安全实验室检测到某省大量政府网站使用动易建站系统，该系统后台登录使用弱口令Admin/admin888作为管理员默认账户，经过确认，共有28家政府网站管理员未更改原始账号密码，并且将近一半网站已被入侵，管理员头像遭篡改，以管理员身份发表测试文章。

            

今年1月份，某省省级管理网站，因某管理者使用123456弱口令作为密码，不仅造成该管理人员所在组织内部人员信息全部泄露，如果结合网站其他漏洞进行利用，可导致全网站72w组织成员身份证号，联系方式，家庭住址等信息全部泄露。

搜索wooyun漏洞公开平台，由弱口令引发的信息泄露事件每天都在上演，您的信息在不经意间已被多次倒卖。经常收到垃圾短信或者推销电话就是强有力的证明。不论是个人还是管理者，使用弱口令做密码都是及其不负责任的表现。

安全建议                                                   

1、针对管理人员，应强制其账号密码强度必须达到一定的级别；

2、建议密码长度不少于8位，且密码中至少包含数字、字母和符号；

3、不同网站应使用不同的密码，以免遭受“撞库攻击”；

4、避免使用生日，姓名等信息做密码，远离社工危害。

本次研究结果仅供参考，存在漏洞的网站已经及时上报相关单位进行修复。对于使用弱密码的用户，我只想说，赶快改密码吧，你们的秘密已经被我发现了。

那么什么才是强密码呢，像我这样，密码长度不少于8位，且密码中至少包含数字、字母和符号，S4ngF0r@Qiqi#（sangfor@qiqi#），多么完美的密码！

看完以上内容，您有什么想说的？

千里目安全实验室美女研发跟您约谈：您对弱密码的看法，同时欢迎分享您遇到的弱密码被破解的案例！

密码太多，习惯性地设置简单的密码，听了美女的解说，觉得还是改下比较好，哪怕自己私下再找个本子记下来！！！

涨姿势咯

自家妹子的文章，感兴趣的可以关注我们的微信公众账号，第一时间获取更多优质好文分享

好厉害，美女黑客求带！

小齐子，么么哒，美女黑客  图片暴露了你的飒爽英姿。文章深入且不失机智，赞一个

齐齐威武~

针对弱密码的问题：建议不要使用相同的账号和密码，要经常更改自己的密码，并且加强强度。举一个简单的例子，家用WIFI，如果使用的弱口令密码，通过抓包获取路由器和终端的交互数据包，然后进行分析和暴力破解，如果是弱密码的话基本上不用大字典就可以简单的跑出来，甚至获取小路由器的PIN码。所以，密码一定要复杂并且经常更改，养成一个好的安全意识。

其实弱密码这么多人还在使用是因为复杂的密码太难记忆。我之前看过一个笔记本，比较有意思~分享给大家

---------------------------------------------------------

现在有这样一本神奇的笔记本：Enigmaze 密码本，它能教你设置出超级复杂的密码，而只需要用最简单的方式去记忆。此外还能非常安全的储存密码。其中最棒的是，当你每次使用密码的时候，都感觉在破解密码，是不是很激动哇。Enigmaze 的命名源自于德国发明的恩尼格玛密码机 Enigma，二战时德军曾使用这种密码机传递机要信息。

从外表上看，Enigmaze无异于普通硬皮笔记本，不过它却暗藏玄机。打开笔计本，我们可以看见密密麻麻的蜂巢状拼接在一起的表格，混杂着各种字母、符号，感觉和看天书一样。Enigmaze 密码本一共有88页，其中77页都印有完全不同的表格，而最后的10页是空白的供用户做笔记。

创建、破解密码的招式

用这本 Enigmaze 密码本创建以及破解密码的方式就是看自己心情。

初级招式：

用隐形墨水笔在笔记本上勾勒出密码，可以是直线、斜线、折线。破解方式就是用紫外线灯照射。那么下图中的密码就是:3^0O?KM?^3!L，顺序自己定啦。

中级招式：

不借助隐形墨水笔和紫外线灯，在笔记本上假想出两条直线，把直线两端的字母和数字设为明文，比如E2K4，那么下图右侧的密码就是peNY3!:~%UqT，是不是很有趣呢？

高级招式

设置容易记忆的明文，比如 password，是不是特别好记，然后把表格最下方的字母定为规则，用隐形墨水笔在字母P、A、S、W、O、R、D的竖行上选择并填涂出暗文。破解方式就是用紫外线灯照射后按照线索破解出密码。那么上图左侧的密码就是B^##%S.)，你看出来了吗？

有了这本密码本，你可以用各种各样的方式去创建出无数种复杂的密码，炫出你的方式。

安全的密码储存方式

所以说，就算别人看了Enigmaze 密码本，又或者是他有这本密码本，他也不知道我的密码，因为它又不知道规则，Enigmaze 密码本可以说是一个存放密码相对安全的方式。

心动的小伙伴如果你同时还属于心灵手巧类型的话，可以试着自己去DIY一本类似的密码本哦。

一套完整的 Enigmaze 密码本包括一本笔记本、一支隐形墨水笔、一个紫外线灯和一张密码透明卡，其中密码透明卡就是密码本的一页，使用方法是一样的，就为了方便携带

主要是用得到密码的地方太多，容易弄混，所以大部分的密码都是用相同的。我给自己弄了几个密码，分别是低级别，中级别，高级别的，这样就容易记住了，看使用场景就知道自己用的是哪个密码了