我正在Plone网站上进行渗透测试。一旦我有密码(使用SSHA进行哈希),是否有任何工具可以评估密码的强度?
谢谢和问候, 鳗鱼
答案 0 :(得分:1)
如果您只有哈希值,那么您可以进行的唯一评估是尝试猜测确切的密码,这有点贵。然后,要么打破它,要么不打破它;没有回旋的余地。您可以使用时间来猜测密码作为密码强度的估计值,但是,希望好的密码需要比实际更长的时间。这就是散列密码的重点:因此猜测密码并使用散列进行验证只需几周或几个月,而不是几分钟。
作为渗透测试的一部分,如果您有散列密码,那么您应该运行password cracker。如果尚未集成确切的密码哈希进程,则可能必须开发一些软件。任何破损的密码都会被报告为严重的系统弱点。
通常的密码强度估算器使用未散列的密码进行操作,方法是尝试确定密码的可猜测程度。这在实践中不能很好地工作,因为“猜测”可能涉及人类的大脑,这会逃避准确的建模。例如,您可以通过连接四个或五个日期来创建一个长密码(例如,以YYMMDD格式);这样的密码估计会有很好的强度 - 但如果日期是你的妻子和孩子的出生日期,那么密码实际上很容易猜到。
答案 1 :(得分:0)
没有
如果我理解正确,那么您建议为假设工具提供哈希而不是明文密码本身。我对这个猜想充满信心:你描述的工具将告诉我更多关于SSHA加密的信息,而不是底层密码的强度。
我会以积极的方式说出这一点:评估密码强度的工具是根据明文密码进行操作的;否则,它主要测量散列方法的熵。
当然,我的说法中没有特别的Plone内容。基于现有密码强度检查器之一构建Plone(或Zope ...)产品当然应该是直截了当的。我知道没有一个是为公众打包的。
答案 2 :(得分:0)
SSHA或更常见的盐渍sha1是一种存储密码的好方法。 SHA1在技术上被破坏,但没有人产生冲突,它仍然在NIST推荐的消息摘要功能列表中。
John The Ripper可以用来打破盐渍的sha1哈希值。
盐渍SHA256将是更好的选择。