测试Plone密码强度

Question

我正在 Plone 站点上执行渗透测试。一旦我有了密码（使用 SSHA 进行哈希处理），是否有任何工具可以评估密码的强度？

谢谢和问候， 鳗鱼

Answer 1

如果您只有哈希值，那么您可以做出的唯一评估就是尝试猜测确切的密码，这有点昂贵。然后，你要么打破它，要么不打破它；没有中间立场。您可以使用猜测密码所花费的时间来估计密码强度，但希望好的密码会花费比实际更长的时间。这就是对密码进行哈希处理的要点：这样猜测密码并使用哈希值进行验证只需几周或几个月的时间，而不是几分钟。

作为渗透测试的一部分，如果您有哈希密码，那么您应该运行密码破解程序。如果尚未集成确切的密码哈希过程，您可能需要开发一些软件。任何被破解的密码都会被报告为严重的系统缺陷。

通常的密码强度估计器通过尝试确定密码的可猜测程度来对未散列的密码进行操作。这在实践中效果不太好，因为“猜测”可能涉及人脑，从而逃避了精确的建模。例如，您可以通过连接四个或五个日期（例如以YYMMDD格式）来创建一个长密码；这样的密码估计具有良好的强度 - 但如果日期是您妻子和孩子的出生日期，那么很可能该密码实际上很容易猜到。

Answer 2

不。

如果我理解正确，您建议为假设的工具提供哈希值，而不是明文密码本身。我对这个猜想相当有信心：您所描述的工具将告诉您更多有关 SSHA 加密的信息，而不是底层密码的强度。

我会以积极的方式说：评估密码强度的工具对明文密码进行操作；否则，它主要测量哈希方法的熵。

当然，我的主张并没有特别的克隆人内容。当然，基于现有密码强度检查器之一构建 Plone（或 Zope ...）产品应该很简单。据我所知，没有任何一个是为公众打包的。

Answer 3

SSHA 或更常见的称为 salted sha1 是一种存储密码的好方法。 SHA1 在技术上已被破坏，但没有人产生冲突，并且它仍然在 NIST 推荐的消息摘要函数列表中。

John The Ripper 可用于破解加盐的 sha1 哈希值。

加盐 SHA256 会是更好的选择。