【发布时间】:2023-03-30 10:45:01
【问题描述】:
我正在尝试对我的一个网站进行渗透测试。我不知道用户名和密码。我正在尝试使用暴力破解破解用户名和密码。
虽然,这个策略应该是直接的,因为我需要每次都生成一个可变长度的新字母数字组合,并使用一些自己编写的程序发布它。
但是这种策略需要大量的处理时间和能力。我的简单疑问是,这种策略是否足以破解用户名和密码,或者预计会完成其他一些任务。
我听说过很多关于字典攻击的事情,但这也需要预先定义的用户名和密码列表。
我应该选择 brutus(但它对我不起作用)还是自己编写的程序? 获取用户名和密码的正确方法是什么?
【问题讨论】:
-
这是一篇很好的文章,介绍了经验丰富的黑客破解密码的难易程度:arstechnica.com/security/2013/05/…
-
人类选择的密码不是随机的或分布特别好的——这就是我改用 KeyPass 之类的工具并随机生成不同的 128 的原因之一~位键和密码短语。有论文表明,针对许多帐户尝试按频率选择有限的密码更具“成本效益”。
-
这个问题似乎跑题了,因为它与编程无关。
-
这个问题似乎是题外话,因为它是关于安全性的。改用security.stackexchange.com
标签: security passwords brute-force dictionary-attack