使用john软件进行账户弱口令检测实验
前言
在生产环境中,服务器账号的密码能够不被黑客入侵**是尤为重要的,关系着业务正常运行的安全,所以在创建完账户的密码后,我们需要进行弱口令的检测,排查出是否有容易被**的密码存在。
本次实验使用的**密码软件是john-1.8.0版本。
实验环境
在Linux系统中先创建几个账户,并设置密码,等待被**;
john-1.8.0版本的**密码软件
实验步骤
1.将john-1.8.0.tar.gz软件包解压到/opt目录下
2.因为要根据/opt/john-1.8.0/src中的源码文件配置运行软件的脚本,所以需要先安装编译器gcc,gcc-c++
3.在/opt/john-1.8.0/src下编译源码文件创建运行软件的脚本
4.这时在/opt/john-1.8.0/run下会多出名为john的运行软件的脚本文件
5.执行脚本分析账户基本信息和密码信息的文件
实验总结
john软件**弱口令实际上是根据字典文件为password.lst来进行**的,其列出了3000多个常见的弱口令。如果有必要,用户可以在字典文件中添加更多的密码组合,也可以直接使用更加完整的其他字典文件。字典文件越强,其**能力也越强。