5-12实训课总结-密码相关

5-12实训总结

知识点：密码学相关

• 加密技术在企业中的使用

  • 企业资产、财务报表、人员信息、电子票据等敏感数据
  • 代码文件/配置文件中的敏感数据

• 密码破解方法

  序号	密码破解技术	优点	缺点
  1	暴力破解（常见）	简单、直接，适用于所有密码体系	需要巨大的计算资源，耗时长，成功率低
  2	字典攻击（常见）	适用于弱密码，成功率较高	对于复杂密码无效，需要预先准备字典
  3	社会工程学（常见）	不需要直接破解密码，成功率较高	实施难度较大，依赖于攻击者的社会工程技巧
  4	密钥分析	针对特定加密算法，成功率较高	依赖于对加密算法的深入理解，实施难度较大
  5	旁路攻击	无需直接破解密码，成功率较高	依赖于硬件和物理设备的漏洞，实施难度较大
  6	明文攻击	无需直接破解密码，成功率较高	依赖于获取明文数据的能力，实施难度较大

补充：暴力破解通常目标为工具类平台，旁路攻击的一个案例为电磁泄露窃听技术

• 常用密码破解工具

  序号	工具名称	简介	支持的破解方式	适用场景	独特优势
  1	John the Ripper（JTR）	一款开源密码破解工具，能处理多种密码格式，常用于破解密码哈希 。	字典攻击、暴力破解等。	适用于本地密码文件哈希破解，比如在渗透测试中获取系统用户密码哈希后进行破解 。	开源且支持密码格式丰富，可定制性强。
  2	Hydra	由黑客组织 THC 开发的暴力破解工具，可并行登录破解，针对超 50 个协议进行快速字典攻击 。	主要是暴力破解、字典攻击，针对 telnet、ftp、http (s)、smb、MySQL、SMTP 等超 50 种协议 。	用于远程服务的用户名和密码破解，如渗透测试中对目标服务器各类服务的密码探测 。	支持协议众多，并行处理能力强，破解速度快。
  3	Hashcat	一款支持多种密码破解算法的工具。	暴力破解、字典攻击等多种算法 ，利用 GPU 加速 。	适用于大规模密码破解任务，如安全研究人员分析大量密码样本 。	借助 GPU 加速，极大提升密码破解速度，破解效率高。

• 密码安全建议

  • 强密码：至少12个包含大小写字母数字特殊符号。
  • 多因子认证：除了密码外，额外需要验证其他的凭证信息，如证书、pin码、短信等信息。
  • 密码管理器：实质上是使用工具生成强密码

密码破解实践

• 压缩包密码破解
  • John Ripper+HASHCAT
• web登录页面破解
  • HyDRA 或burpsuit(实验实现)

课后问题整理

• 密码学的重要性和历史背景
  • 密码发展历程
  • 密码学基本概念和分类
• 破解密码的技术和方法
  • 常见密码破解技术的原理
  • 分析密码破解的实际案例，各种破解技术的应用
• 提高密码安全性的建议
  • 复杂密码、定期更换密码
  • 双因素认证提高账户安全性
  • 警惕钓鱼攻击、社交工程等威胁