我想应该很容易打开ssh端口与假ssh服务器和收集通行证(我猜他们不是平原了,变成了哈希)和相应的login,如蜜jar。 这背后的想法是build立一个数据库,并testing我的帐户。 有没有人做过?
如果您可能想知道我用这些密码testing我的帐户有什么好处,我会争辩说,密码可能会在一段时间内发生变化,我最终可能会预见到“成功的”ssh攻击。
是的,剑桥大学的斯蒂芬·默多克(Stephen Murdoch)在今年早些时候已经做到了。 您可以在安全研究组的博客中阅读他的结果; 在本文中讨论了最初的实验,并在本文中出现了一些更多的结果。
我个人最喜欢的是
例如,有一个用户名“root”和“dark”的login尝试,密码为“ManualulIngineruluiMecanic”,我认为这是罗马尼亚语的“机械工程手册”。
为什么有人会使用这个密码,特别是对于不常用的用户名“黑暗”? 这本书在罗马尼亚是否常见? 是否可能是由试图select密码的系统pipe理员(或黑客)的桌面? 黑客是否发现在另一个受到危害的系统上使用密码; 是什么东西的默认密码?
由于SSH攻击是带有某种天赋的字典攻击,因此下载字典的文本文件将为您提供很多潜在的密码。 设置一个蜜jar并不会给你带来更多的通用密码。
如果你觉得懒惰,你可以从主要的网站下载密码转储的明文,因为周围有很多这样的密码,并且(在过滤重复数据之后),你应该得到一个常用密码的好数据库。
幸运的是,由于人性本身就是一种缓慢的事情,所以直到人们获得更好的记忆,或者直到有人发明了一台不需要人类的计算机来input事物为止。