密码不能重复连续的数字是什么意思中可以有连续重复的字母吗?

来源:蜘蛛抓取(WebSpider) 时间:2022-10-22 07:39 标签: 密码不能重复连续的数字是什么意思

对于 Linux 系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。移步后面的 URL 查看如何 。它会限制系统未授权的用户的访问。

所有人都知道 Linux 的默认策略很安全,然而我们还是要做一些微调,这样才更安全。弱密码有安全隐患,因此,请特别注意。移步后面的 URL 查看生成的强密码的。本文将教你在 Linux 中如何实现最安全的策略。

在大多数 Linux 系统中,我们可以用 PAM(可插拔认证模块pluggable authentication module)来加强密码策略。在下面的路径可以找到这个文件。

关于默认的密码过期时间,可以在 /etc/login.defs 文件中查看详细信息。

为了更好理解,我摘取了文件的部分内容:

  • PASS_MAX_DAYS:一个密码可使用的最大天数。
  • PASS_MIN_DAYS:两次密码修改之间最小的间隔天数。
  • PASS_WARN_AGE:密码过期前给出警告的天数。

我们将会展示在 Linux 中如何实现下面的 11 个密码策略。

  • 一个密码可使用的最大天数
  • 两次密码修改之间最小的间隔天数
  • 密码过期前给出警告的天数
  • 密码历史记录/拒绝重复使用密码
  • 最少的其他字符(符号)个数

密码可使用的最大天数是什么?

这一参数限制一个密码可使用的最大天数。它强制用户在过期前修改他/她的密码。如果他们忘记修改,那么他们会登录不了系统。他们需要联系管理员才能正常登录。这个参数可以在 /etc/login.defs 文件中设置。我把这个参数设置为 90 天。

这个参数限制两次修改之间的最少天数。举例来说,如果这个参数被设置为 15 天,用户今天修改了密码,那么在 15 天之内他都不能修改密码。这个参数可以在 /etc/login.defs 文件中设置。我设置为 15 天。

这个参数控制密码警告的前置天数,在密码即将过期时会给用户警告提示。在警告天数结束前,用户会收到日常警告提示。这可以提醒用户在密码过期前修改他们的密码,否则我们就需要联系管理员来解锁密码。这个参数可以在 /etc/login.defs 文件中设置。我设置为 10 天。

注意: 上面的所有参数仅对新账号有效,对已存在的账号无效。

密码历史或拒绝重复使用密码是什么?

这个参数控制密码历史。它记录曾经使用过的密码(禁止使用的曾用密码的个数)。当用户设置新的密码时,它会检查密码历史,如果他们要设置的密码是一个曾经使用过的旧密码,将会发出警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置密码历史为 5。

这个参数表示密码的最小长度。当用户设置新密码时,系统会检查这个参数,如果新设的密码长度小于这个参数设置的值,会收到警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置最小密码长度为 12。

设置最少的大写字母个数?

这个参数表示密码中至少需要的大写字母的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有大写字母,会收到警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置密码(中的大写字母)的最小长度为 1 个字母。

设置最少的小写字母个数?

这个参数表示密码中至少需要的小写字母的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有小写字母,会收到警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置为 1 个字母。

设置密码中最少的数字个数?

这个参数表示密码中至少需要的数字的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有数字,会收到警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置为 1 个数字。

设置密码中最少的其他字符(符号)个数?

这个参数表示密码中至少需要的特殊符号的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有特殊符号,会收到警告提示。这个参数可以在 /etc/pam.d/system-auth 文件中设置。我设置为 1 个字符。

这个参数控制用户连续登录失败的最大次数。当达到设定的连续失败登录次数阈值时,锁定账号。这个参数可以在 /etc/pam.d/system-auth 文件中设置。

这个参数表示用户解锁时间。如果一个用户账号在连续认证失败后被锁定了,当过了设定的解锁时间后,才会解锁。设置被锁定中的账号的解锁时间(900 秒 = 15分钟)。这个参数可以在 /etc/pam.d/system-auth 文件中设置。

作者: 选题: 译者:

本文由 原创编译, 荣誉推出


  • 在WEB渗透中可能使用某个关键字为密码核心的密码(Mail,Vpn,后台登陆等)

在以往的渗透过中发现绝大多数企业的web服务是不允许注册,都是由某个人或系统分配的,而在这之中又有大部分的分配是人为分配,这就引出了我今天研究的主题《拆分密码》。

人们在分配密码的时候是无法做到计算机那样随机的。多数都是根据某个关键字加上一些字符如企业名,时间,123等,这样的分配方式就给密码赋予了结构

为例子,我也是看了这个站点的渗透测试报告才触发我写这篇文章

:wget -O 这个模式,很经典。前缀和后缀中使用最多的1和123,前缀中值得注意的是iam,big,the,大多数前缀都使用的名词或者短语,,
 


 

 那么问题就来了,为什么是它们?
 


 

 在我的研究中,我将前缀和后缀分为4个类型:
  • 连续性 字符连续的递增
  • 规则性 利用字符体现某种规则
  • 应付性 满足系统强制要求 
    •  
 
 
    
 单个字符前缀全部看做是 应付性,而没有意义的东西人们往往很难记忆,所以在应付性的情况下会选择规则性帮助记忆。10个数字26字母32个符号一共68个字符
    • 键盘的设计是根据人体工程学设计的,最方便的键就是使用频率最高的键。玩过魔兽世界中pve无脑冰法的应该知道,【寒冰箭】基本都放数字1键,因为在抛弃字母键后,无名指按1键最方便,且连续按下123也最快捷。所以在 应付性 下满足系统要求(密码不为纯数字或纯字符)以字母做为关键字的密码,单数字前缀概率最大的为1
    • 寓意规则 1(最大),6(顺的寓意),8(发的寓意)
    • 键盘规则 ①中档键>右手>食指 J
    • 寓意规则 以名字首字母为寓意 A
    • 键盘规则 在输出字符的时候需要按住Shift键
    • 左手大拇指按Shift键 !
    • 寓意规则 @ 像a,邮件代表符号,易记忆

    多个字符我们用 连续性 重复性 规则性分析

    • 连续性 连续性字符大于2位,小于等于6位
    • 重复性 重复性字符串大于1位小于等于3位

    链接符不一定存在,弱存在只为一个单符号

    前缀和后缀是有区别的,像woshi更应该做为前缀,qwe,888应该做为后缀,前缀可以为空,链接符可以为空,后缀可以为空

    • 前缀+关键字+链接符+后缀
    • 后缀多为键盘规则和连续性

    一切非随即密码都是为了方便记忆,现在爆破的核心不是弱密码,而是使用有规则密码的弱用户。人是懒惰的,为了方便记忆会将自己的记忆做为密码记忆。

    注①:《电脑键盘字母的优化排列》 这篇文章仅仅是我写社工字典程序的理论框架,如果有与科学理论违背的地方,以科学理论为主

    本文章来源于乌云知识库,此镜像为了方便大家学习研究,文章版权归乌云知识库!

声明:该文观点仅代表作者本人,转载请注明来自看雪专栏

我要回帖

更多关于 密码不能重复连续的数字是什么意思 的文章

 

随机推荐