弱口令的tips

1.遵循某种规律，读起来朗朗上口，或者是我们小时候最先接触的一些数字或者字母。

 123456，123abc，abc123，123456abcdef!@#这些弱口令也有人戏称是滚键盘,例如admin!@# 
看起来并不简单，但它确实是滚键盘，属于弱密码，我在实际渗透中，曾许多次碰到这个弱口令admin!@#

2.无意间的信息泄漏，导致密码泄漏或者可能易于被猜测

开发人员托管代码时，没有对敏感信息进行删除，导致泄露了用户名密码root/JD123，
还有一种就是密码本身并不弱，但是开发人员对于自己的网站或者系统过于热爱，而导致用户名或密码可猜测。
开发人员或者管理人员就可能将系统的用户名设置的与网站域名有关，或者与公司名称有关。

应对策略：
(1)登录名和用户名应进行区分。
(2)实行有效的密码策略，杜绝密码中包含用户名，甚至是完全相同的情况存在。
(3)记住GitHub是安全隐含一大来源。
(4)不要使用易于从企业名称或者域名中得到密码信息的口令。

3.虽然密码强度可靠，但大量系统使用同一密码

只要基数过大，那么一定会有例外，也一定会存在漏洞，任意一个系统遭到入侵后，
其它的系统都会受到影响，这样的例子数不胜数，例如内网渗透很大程度上就是根据这一点进行的。

4.还有就是默认密码，虽然许多系统坚不可摧，但如果其不强制其用户修改密码，有些人还真的就会用默认密码。

5.虽然系统采用了默认密码，但是用户对其进行了修改，这就足够了吗？no！系统中还有系统。

该问题多见于一些大型集成软件或者系统，由于系统过于庞大，存在默认密码的地方不止一处，甚至管理员本身都不知道存在某些功能。

如：某cms中集成了ewebeditor编辑器，但管理员可能不会注意到。
其密码使用默认密码(admin/admin)，导致系统存在被入侵的风险。
应对策略：
(1).对于集成软件或系统，使用前应对其进行详尽的了解，避免因设置问题而存在弱口令。
(2).集成软件或系统的厂商应在使用说明中，着重指出此问题。

6.网站存在撞库风险

严格意义上来讲，并不能归在弱口令安全，但是还是与其相关的。
由于登陆功能或者一些接口设计不当，导致可以无限制尝试登录，从而导致撞库。 
应对策略：
撞库问题，其实并不只是企业或者网站的问题，这也需要我们每一位用户提高自己的安全意识。
(1).作为我们用户，我们应定期修改密码，不同的网站或账户不应该使用相同的密码
(2).作为企业或网站主，我们应对登录进行有效验证限制，不只是明显的登陆处，对于各个功能接口也不例外