使用john软件进行账户弱口令检测实验

前言

在生产环境中，服务器账号的密码能够不被黑客入侵**是尤为重要的，关系着业务正常运行的安全，所以在创建完账户的密码后，我们需要进行弱口令的检测，排查出是否有容易被**的密码存在。
本次实验使用的**密码软件是john-1.8.0版本。

实验环境

在Linux系统中先创建几个账户，并设置密码，等待被**；
john-1.8.0版本的**密码软件

实验步骤

1.将john-1.8.0.tar.gz软件包解压到/opt目录下

2.因为要根据/opt/john-1.8.0/src中的源码文件配置运行软件的脚本，所以需要先安装编译器gcc，gcc-c++

3.在/opt/john-1.8.0/src下编译源码文件创建运行软件的脚本

4.这时在/opt/john-1.8.0/run下会多出名为john的运行软件的脚本文件

5.执行脚本分析账户基本信息和密码信息的文件

实验总结

john软件**弱口令实际上是根据字典文件为password.lst来进行**的，其列出了3000多个常见的弱口令。如果有必要，用户可以在字典文件中添加更多的密码组合，也可以直接使用更加完整的其他字典文件。字典文件越强，其**能力也越强。