V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skyworker
V2EX  ›  信息安全

!@#$%^1qazxsw2 也是弱密码? VPS 被破了。。。。

  •  
  •   skyworker · 2015-05-22 10:52:17 +08:00 · 8517 次点击
    这是一个创建于 3452 天前的主题,其中的信息可能已经有所发展或是发生改变。
    !@#$%^1qazxsw2 我觉得密码都够强了,还是被破

    有一个dsftoppoze的进程,占用100%的CPU,还占满了网络。。。

    55 条回复    2016-04-26 16:48:44 +08:00
    cst4you
        1
    cst4you  
       2015-05-22 10:55:44 +08:00
    换证书登录吧
    cst4you
        2
    cst4you  
       2015-05-22 10:56:02 +08:00
    哦不对, ssshkey
    kiritoalex
        3
    kiritoalex  
       2015-05-22 10:57:14 +08:00 via Android
    弄了fail2ban吗
    badcode
        4
    badcode  
       2015-05-22 10:58:55 +08:00   ❤️ 1
    默默看了键盘键位
    怎么看怎么有某些规律呢?
    yingluck
        5
    yingluck  
       2015-05-22 10:59:09 +08:00   ❤️ 5
    你这叫键盘序 是弱密码的一种
    skyworker
        6
    skyworker  
    OP
       2015-05-22 11:01:27 +08:00
    @yingluck 防不胜防啊
    yingluck
        7
    yingluck  
       2015-05-22 11:07:55 +08:00   ❤️ 3
    @skyworker

    弱密码一般分三类
    构成类弱密码: 长度过短、密码元素重复等
    社工类弱密码: 生日、手机、用户名、QQ号等
    顺序型弱密码: 数字或字母序、键盘序、单词序、名句缩写序

    重要密码一定要随机性强、长度够、保存完善
    jy02201949
        8
    jy02201949  
       2015-05-22 11:08:28 +08:00
    公司里规定这种也算弱密码的一种。。。1qaz!QAZ键盘顺序来的而且一般从左边开始不限制密码重试次数的话几百个回合就败下阵来了
    sneezry
        9
    sneezry  
       2015-05-22 11:09:40 +08:00 via iPhone
    用1337吧
    Syaoran
        10
    Syaoran  
       2015-05-22 11:16:51 +08:00 via iPhone
    原来键盘序也是弱密码……回家赶快改……
    canky
        11
    canky  
       2015-05-22 11:21:18 +08:00 via iPhone
    你在网上随便下个字典,估计都能看到有。23333
    taresky
        12
    taresky  
       2015-05-22 11:22:10 +08:00
    mVWTfh62NyeojvrV 类似这种就好了吧,1password
    GPU
        13
    GPU  
       2015-05-22 11:41:39 +08:00
    _t(%@y,cxgVde8m9;!h6yZ:HnKHMbT(CL-iRHHT013I

    这个就不是弱密码了。
    TimLang
        14
    TimLang  
       2015-05-22 11:43:08 +08:00
    禁止密码登录啊,vps每天不知道被扫多少次,99.x%是某个菜鸟下载了个扫描工具在弄呢。
    huigeer
        15
    huigeer  
       2015-05-22 11:45:43 +08:00
    密码生成器: 20 -30 位,
    fail2ban
    staticor
        16
    staticor  
       2015-05-22 11:55:10 +08:00
    对一般人来说, 不超5秒就能背下来的密码还不是简单密码吗?
    Kilerd
        17
    Kilerd  
       2015-05-22 12:18:44 +08:00
    突然就想起了一首歌

    如果这都不算爱.........................
    est
        18
    est  
       2015-05-22 12:21:04 +08:00   ❤️ 6
    什么是弱密码?把密码的md5算出来,弄到 http://cmd5.org/ 去反查一下,能查到就是弱密码。
    Perry
        19
    Perry  
       2015-05-22 12:24:30 +08:00
    我的密码是当年手机注册 QQ 时候给的随机 10 位数字密码,之后自己再加上字母和特殊字符。。。
    Jason_C
        20
    Jason_C  
       2015-05-22 12:27:47 +08:00
    当然算弱,不要以为很复杂,你就是对着键盘一顿规则的输入!@#$%^ 然后1qaz,然后xsw2,这些组合都是很常见了
    9hills
        21
    9hills  
       2015-05-22 12:28:58 +08:00
    @est 正解,一般弱密码的md5都已经在表里了。。
    yyfearth
        22
    yyfearth  
       2015-05-22 12:30:22 +08:00
    @skyworker 有规律就是弱密码 强密码就得随机而且复杂(长或者字符集大)
    loading
        23
    loading  
       2015-05-22 12:32:24 +08:00
    @est
    @9hills
    配合在线生成md5,就能收集更多。
    est
        24
    est  
       2015-05-22 12:33:33 +08:00
    @loading 哈哈哈,想起一个经典钓鱼,就是在线私钥生成工具,钓小白站长一堆一堆的。。。
    loading
        25
    loading  
       2015-05-22 12:43:11 +08:00
    @est 我晕😂
    dong3580
        26
    dong3580  
       2015-05-22 12:45:44 +08:00 via Android
    @est
    @loading
    太可怕了,你们这么一说,赶紧自己造个小轮子压压惊
    lhbc
        27
    lhbc  
       2015-05-22 12:56:21 +08:00 via iPhone
    @est 这个怎么知道公钥用在哪台机器了?
    yangyanggnu
        28
    yangyanggnu  
       2015-05-22 12:57:01 +08:00
    太 社工 了
    est
        29
    est  
       2015-05-22 12:59:54 +08:00
    @lhbc 我记得是一个套路。生成证书嘛。要填写common name。。呵呵呵。
    loading
        30
    loading  
       2015-05-22 13:00:34 +08:00
    @lhbc 配合在线ssh服务有奇效,隐蔽的可以提供ping 工具或测速。
    然后结合下来源ip,或全扫一次,毕竟用的人不多,也就那些半杯水的人。
    fuge
        31
    fuge  
       2015-05-22 13:06:20 +08:00 via iPhone
    sshkey
    ck65
        32
    ck65  
       2015-05-22 13:08:01 +08:00
    记得之前的领导告诉我电脑密码是 14789632,我表示这塔马是什么?领导一脸严肃地、极其神秘地说,小键盘上转一圈。。
    LazyZhu
        33
    LazyZhu  
       2015-05-22 13:08:03 +08:00
    Chrisplus
        35
    Chrisplus  
       2015-05-22 13:15:06 +08:00
    键盘序....
    lhbc
        36
    lhbc  
       2015-05-22 13:52:12 +08:00
    @est ssh的密钥对,是不包括common name
    其实有common name,那肯定是钓鱼的
    est
        37
    est  
       2015-05-22 14:06:28 +08:00
    @lhbc 没说是ssh的啊。。。别人网站钓鱼是用来配置https或者邮箱tls什么的。。。。
    dallaslu
        38
    dallaslu  
       2015-05-22 15:59:42 +08:00
    用随机生成的呗!比如:5k4bb3ufid8f
    tesorouo
        39
    tesorouo  
       2015-05-22 16:27:26 +08:00
    典型的字典拼接密码。。应该是比弱密码中的弱密码吧
    seki
        40
    seki  
       2015-05-22 16:43:27 +08:00
    如果用密码就乖乖地 fail2ban 吧
    Felldeadbird
        41
    Felldeadbird  
       2015-05-22 16:52:51 +08:00
    第一眼看,确实不是弱密码。
    第二眼看,这个用密码词典就有很大几率撞破。
    ooxxcc
        42
    ooxxcc  
       2015-05-22 17:01:02 +08:00
    fail2ban
    libpam-google-authenticator
    公钥登录
    Actrace
        43
    Actrace  
       2015-05-22 17:05:17 +08:00
    换个不常用的端口吧。。
    Navee
        44
    Navee  
       2015-05-22 18:02:53 +08:00
    装个fail2ban,防止别人无限猜你密码
    shyrock
        45
    shyrock  
       2015-05-22 18:09:16 +08:00
    @est Result:
    Found.But this is a payment record. Hash-type is md5. Purchase
    居然靠这个收费。。。
    konakona
        46
    konakona  
       2015-05-22 21:10:08 +08:00
    阿里云是不是没有SSH KEY登录?
    wclebb
        47
    wclebb  
       2015-05-22 23:01:06 +08:00
    VPS 不是基本上都有 SSH 吗?即使没有也可以自建啊。然后禁用密码登陆。——仅限于猜想,没试过。
    如果是 Linux 或 Mac 自带 SSH 自建生成。

    然后把密码交给提供商建立 VPS 时的 SSH
    然后?永远不用密码登陆了……除非你丢了证书。
    hackwjfz
        48
    hackwjfz  
       2015-05-22 23:21:20 +08:00 via Android
    @est
    在线反查md5,这个网站就会开始暴力破解你提交的这个md5。
    snow9312
        49
    snow9312  
       2015-05-22 23:41:23 +08:00
    1Password的随机密码,用起来太顺手了。自己想的密码都不放心。
    waswereklmmlk
        50
    waswereklmmlk  
       2015-05-22 23:43:21 +08:00 via Android
    反正我是用双拼的人,一般设置一个密码都是强,例如Lzvuuiuabi,dzbi--->楼主是傻逼,逗逼 哈哈哈,
    maxbon
        51
    maxbon  
       2015-05-22 23:59:41 +08:00
    这么有规律,必须弱密码好么
    Pactzhao
        52
    Pactzhao  
       2015-05-23 08:28:57 +08:00
    @waswereklmmlk 你这不是微软双拼方案吧……
    love
        53
    love  
       2015-05-23 09:11:47 +08:00
    做个在线查询弱密码服务,然后如果发现还没收录,就告知不是弱密码然后回头把密码加入弱密码表
    waswereklmmlk
        54
    waswereklmmlk  
       2015-05-23 19:18:26 +08:00
    @Pactzhao 不是~ 小鹤, 现在觉得双拼好奇葩.哈哈 . 可是改不过来了.`
    Izual
        55
    Izual  
       2016-04-26 16:48:44 +08:00
    我觉得不算弱密码,但很明显是两个弱密码的组合,极有可能被包含在用字典生成器生成的密码字典里。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 06:17 · PVG 14:17 · LAX 23:17 · JFK 02:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.