之后，可以发表看法哦~
谢谢，很实用的帖子！
民用的不用这么高级别密码防护，没什么用，还容易忘记
难度稍大的密码，结果自己更容易忘记。
这个是真的，人原来越来，事情越来越多，脑子越来越忘事，太复杂了，记不住了，你自己都解不开了就
简易口令的原因不就是记不住复杂的么……
再久也没有三生三世吧、里面动不动就是几万岁
哈哈哈，要是碰上那些人，这个密码也危险……
哈哈哈哈最后这个网站好玩啊 ~
来分享一下大家的密码需要多久才能被破解？
防患于未然
话说这个300万年的密码，关键是…………好记么
自己总是忘记密码
现在手机银行、网上银行、支付宝、微信、各种电子钱包……都是需要登陆密码、支付密码，估计像楼主这样的，很多人会忘记密码。每次都会使用（忘记密码）功能，重新设置密码~~~
密码尽量设置复杂一些。
嗯，这是一个好玩儿的悖论——对于有的朋友来说，复杂的密码记不住，记住的密码不安全蛤蛤蛤蛤蛤
推荐使用 开源免费的keepass
嗯，不使用其他软件记忆密码的原因在一楼回答了，总怕鸡蛋都在一个篮子里不安全
嗯~密码比金额还多~
文章：34篇
TA的其他文章北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字·文化部监督电子邮箱：wlwh@vip.sina.com·
文明办网文明上网举报电话： 举报邮箱：admin1@renren-inc.com&&&&&&&&&&&&&&&&8,425被浏览501,908分享邀请回答32749 条评论分享收藏感谢收起security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase
提醒各位如果要采取 Rio 的办法，必须有 all or none 的决心。最好只用 Mac，只用固定的几台电脑。对于不能全情投入的非 geek 或不可知论者（读作“非苹果教徒”），我来介绍一种比较人性化的三层密码体系：核心密码。对我来说这包括邮箱，银行，PayPal，VPS。每个都不一样，共同点是至少十六位，有数字、大小写字母和特殊符号，与自己的任何实际信息都无关，至少半年换一次。建议采取特定的脑兼容算法来生成它，比如我曾经使用的算法是：取一个八字母的英文单词，比如 insanity将第一次出现的 S A E I O 替换为 $ 4 3 1 0，比如 insanity 变为 1n$4nity
[1]将最后一个不是数字的英文字母变为大写，比如 1n$4nity 变为 1n$4nitY将这个英文单词映射为手机按键，比如 insanity 映射为 将第 4 步得到的数字接在第 3 部后面，最后得到 1n$4nitY一般密码。对我来说这包括各种 IM 和比较重要的社交站。采用核心密码算法的简化版本。可以用一个单词加上该服务的域名或服务商，套用算法的前三步，比如 QQ 就是 1n$4nitYt3ncenT (pun intended)。 可弃密码。比如注册各种需要登录才能下载或者阅读的论坛，就是一个弱口令，万年不换。这里重要的是用户名最好与上述两层级都不同。如果这个服务用过一段时间之后觉得不错，重新注册一个帐号，升级为一般密码。我倾向于把密码的词汇和算法用隐语方式写在实体记事本和一个文本文件放在邮箱（现在是dropbox）里，比如有一阵子我用 Pi 做密码，就写“山巅一寺，一壶酒”，算法只写关键字，比如“ l33T 接 t9 映射”。重要的是写下密码的更改日期，自己有个查对，而且 Google 找回密码时会问到（还会问到比如常用的几个 tag 之类）。解读的方法我会写在遗嘱里（我每年都写遗嘱。如果你想尝试，记得旧版本一定要毁掉）。
。采用 SAEIO 几个字母是因为它们的频率高，变种还包括i - !t - 7s - 5u - 1_1 等。863119 条评论分享收藏感谢收起[转]无需密码　别人的QQ我也能登录
经常去网吧的菜菜一定遇见过这样的事：打开电脑，发现前一位同学走之前忘关QQ了。别人QQ开在那的确很诱惑，就想玩一把别人的QQ，可是这次玩完以后，下次我们就没得玩了，因为我们没有他的QQ密码呀。其实这里我要告诉大家一个大秘密，QQ不需要密码也能登录！而且只要某一位同学忘关一次QQ，我们就可以不用密码无限次地登录他的QQ了，想知道是怎么做的吗？往下看吧。　　QQ密码的本质是Hash　　虽然我们都知道QQ要登录，必须输入密码，但是绝大多数人却不知道QQ的密码到底是什么，它是如何在服务器端完成密码验证的。其实当我们输入QQ密码后，QQ程序会将我们输入的密码加密成一串Hash值，然后将这串Hash值发送到服务器端进行验证，验证成功即可登录，否则登录就会失败。　　我们暂且不论QQ的具体验证流程，我们的重点在于那串Hash值，如果能拿到这串Hash值，我们就有很大的机会可以破解还原出密码的原文，因为它的加密算法是MD5，关于MD5破解的内容我们也介绍过很多了，相信大家都已经有了一定的了解。不过即使没有破解出来，我们也能使用Hash的方式进行登录，这甚至无需输入QQ密码。　　提取当前QQ的Hash值　　我们假设当前某一位同学的QQ未关，这时我们可以从网上下载一款名为&QQ密码读取器&的程序，双击运行。我们打开QQ的主界面，点击下方的&系统菜单&&&好友与资料&&&更新好友&，这时QQ会自动重启，重启过程中无需我们输入密码。　　回到&QQ密码读取器&界面，我们在&QQ账号&处填入需要获取Hash值的QQ号码，例如，然后点击一下&获取Hash&按钮，在下方的Base64值处就会显示该QQ密码的Hash值。得到的这串字符经过Base64加密，我们的下一个步骤是对其进行解密，由于Base64属于可逆加密，因此可以100%成功解密。点击&Base64解码&按钮即可完成解密工作。　　小提示: 2009并没有更新好友功能，因此该方法只对QQ2009之前的版本有效。　　图1.得到Hash值　　解密完成后，我们会在&Md5&P处看到一串长度为32位的MD5值，相信大家都对16位和32位的MD5值非常熟悉了吧。赶快试试运气如何吧，点击程序上的&md5解码&按钮，如果该QQ的密码比较简单，不用1秒钟就能破解还原出密码原文，本例中得到的密码原文为admin888。　　图2.破解出的密码原文　　无需密码登录QQ　　能破解出密码原文说明运气比较好，大多数情况下我们是无法得到密码原文的，难道我们就只能这样放弃？NO！要登录QQ何需密码，没有密码我们照样可以登录QQ，因为我们有QQ密码的Hash值。　　用QQ密码的Hash值登录QQ其实很简单，点击&开始&菜单&&运行&，输入这样一串字符：&QQ.exe/START QQUIN:QQ号 PWDHash:加密的密码 /STAT:40&P，其中STAT:40代表隐身登录，STAT:41为正常上线登录。　　小提示: 输入命令登录前确保系统中已经正确安装QQ，而非绿色版。如果是绿色版，则需要在命令提示符中定位到QQ目录，再运行登录命令。　　输入完成后回车，哇哈哈，QQ已经正常登录了，以后只要该QQ的主人不改密码，我们无论在哪里都可以上他的QQ了。　　&QQ密码读取器&下载地址：[img,17,17]file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/ksohtml/wps_clip_image-1748.png[/img] h ttp://www. cbifamily. com/download/200919. html
分享这篇日志的人也喜欢
万水千山总是情点个关注行不行
小五已来江湖，大哥你在哪？
终于！！！！
来晚了有没有想我……
热门日志推荐
人人最热标签
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱：wlwh@vip.sina.com··
文明办网文明上网举报电话： 举报邮箱：&&&&&&&&&&&&
请输入手机号，完成注册
请输入验证码
密码必须由6-20个字符组成
下载人人客户端
品评校花校草，体验校园广场您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
第4章：口令破解与防御技术重点.pptx 131页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
第4章 口令破解与防御技术
国家计算机网络入侵防范中心
网络入侵与防范讲义
4.1 口令的历史与现状
4.2 口令破解方式
4.3 典型的口令破解工具
4.4 口令攻击的综合应用
4.5 口令攻击的防御
网络入侵与防范讲义
4.1 口令的历史与现状
20世纪80年代，当计算机开始在公司里广泛应用时，人们很快就意识到需要保护计算机中的信息。
如果仅仅使用一个userID来标识自己，由于别人很容易得到这个userID，几乎无法阻止某些人冒名登录。基于这一考虑，用户登录时不仅要提供userID来标识自己是谁，还要提供只有自己才知道的口令来向系统证明自己的身份。
网络入侵与防范讲义
4.1 口令的历史与现状
口令的作用就是向系统提供唯一标识个体身份的机制，只给个体所需信息的访问权，从而达到保护敏感信息和个人隐私的作用。
虽然口令的出现使登陆系统时的安全性大大提高，但是这又产生了一个很大的问题。
如果口令过于简单，容易被人猜解出来；如果过于复杂，用户往往需要把它写下来以防忘记，这种做法也会增加口令的不安全性。
当前，计算机用户的口令现状是令人担忧的。
网络入侵与防范讲义
4.1 口令的历史与现状
另外一个和口令有关的问题是多数系统和软件有默认口令和内建帐号，而且很少有人去改动它们，主要是因为：
不知道有默认口令和帐号的存在，并不能禁用他们；
出于防止故障以防万一的观点，希望在产生重大问题时，商家能访问系统，因此不想改口令而将商家拒之门外；
多数管理员想保证他们自己不被锁在系统之外：一种方法就是创建一个口令非常容易记忆的帐号；另一种方法就是和别人共享口令或者把它写下来。而以上两种都会给系统带来重大安全漏洞。
网络入侵与防范讲义
4.1 口令的历史与现状
在这里还需要提到的是：口令必须定期更换。有一些用户，口令从来都不过期，或者很长时间才更换。
最基本的规则是口令的更换周期应当比强行破解口令的时间要短。
网络入侵与防范讲义
4.2 口令破解方式
4.2.1 口令破解方式概述
4.2.2 词典攻击
4.2.3 强行攻击
4.2.4 组合攻击
4.2.5 常见攻击方式的比较
4.2.6 其它的攻击方式
网络入侵与防范讲义
4.2.1 口令破解方式概述
口令破解是入侵一个系统比较常用的方法。
获得口令的思路：
穷举尝试：最容易想到的方法
设法找到存放口令的文件并破解
通过其它途径如网络嗅探、键盘记录器等获取口令
这里所讲的口令破解通常是指通过前两种方式获取口令。这一般又有两种方式：手工破解和自动破解。
网络入侵与防范讲义
4.2.1 口令破解方式概述（2）
手工破解的步骤一般为：
产生可能的口令列表
按口令的可能性从高到低排序
依次手动输入每个口令
如果系统允许访问，则成功
如果没有成功，则重试。
注意不要超过口令的限制次数
这种方式需要攻击者知道用户的userID，并能进入被攻击系统的登陆界面。需要先拟出所有可能的口令列表，并手动输入尝试。
思路简单，但是费时间，效率低
网络入侵与防范讲义
4.2.1 口令破解方式概述（3）
只要得到了加密口令的副本，就可以离线破解。这种破解的方法是需要花一番功夫的，因为要得到加密口令的副本就必须得到系统访问权。
但是一旦得到口令文件，口令的破解就会非常的快，而且由于是在脱机的情况下完成的，不易被察觉出来。
网络入侵与防范讲义
4.2.1 口令破解方式概述（4）
自动破解的一般过程如下：
找到可用的userID
找到所用的加密算法
获取加密口令
创建可能的口令名单
对每个单词加密
对所有的userID观察是否匹配
重复以上过程，直到找出所有口令为止
网络入侵与防范讲义
4.2.2 词典攻击
所谓的词典，实际上是一个单词列表文件。这些单词有的纯粹来自于普通词典中的英文单词，有的则是根据用户的各种信息建立起来的，如用户名字、生日、街道名字、喜欢的动物等。
简而言之，词典是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件。
网络入侵与防范讲义
4.2.2 词典攻击(2)
使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程，就是词典攻击。
多数用户都会根据自己的喜好或自己所熟知的事物来设置口令，因此，口令在词典文件中的可能性很大。而且词典条目相对较少，在破解速度上也远快于穷举法口令攻击。
在大多数系统中，和穷举尝试所有的组合相比，词典攻击能在很短的时间内完成。
正在加载中，请稍后...}