人们在创建密码的时候,往往有一些常见的习惯,例如在密码后面加上出生年。这样操作的目的是为了提升密码的强度。而渗透测试中常见的密码生成工具为了提高破解几率,就会总结这些习惯,从而形成特有的编码规范。
这里以Kali自带的密码生成工具rsmangler来分析常见的编码规范。
(1)将原有密码重复一遍。
(2)将原有密码逆序反转。
(3)首字母大写,或者全大写。
(4)根据英语语法,添加ed或者ing。
(5)添加pw、pwd、admin、sys等关键词语。
(6)使用黑客专有写法Leet进行转化。
(7)结尾添加一个特殊符号。
(8)密码头或尾添加年份。
(9)密码头或尾添加01-99这些数字。
(10)密码头或尾添加1-123这些数字。
对于John之类软件,支持的编码规则则更为复杂。有兴趣,大家可以具体分析一下。如果大家构建的密码符合以上一条或者多条编码规则,则意味着密码强度堪忧。