Analizar contraseñas débiles según el archivo del diccionario o la aplicación

Navega tus respuestas
-1

Tengo una pregunta similar a esta:

¿Cómo crear un diccionario para evitar contraseñas débiles?

Sin embargo, lo que quiero hacer es simplemente revisar una lista de contraseñas que existen en un archivo de texto que contiene más de 2000 contraseñas contra una lista conocida de palabras que pueden aparecer en un diccionario y / o una lista de nombres comunes. libros, canciones, películas, etc. Básicamente, quiero eliminar todas las contraseñas débiles para que nuestra empresa pueda tratar con estos usuarios de acuerdo con una nueva política de contraseñas que estamos implementando.

¿Hay alguna aplicación o lista de diccionarios que pueda usar para lograr esto? El flujo de trabajo que estoy buscando sería algo como esto:

ejecuta la aplicación > alimentar mi archivo de texto > la aplicación analiza a través de la lista para encontrar palabras que están en su base de datos > enviar resultados coincidentes a un nuevo archivo

¿Cómo puedo lograr esto? Sería bueno si pudiera aprovechar la verificación de diccionario integrada de Linux que se ejecuta cuando establece una contraseña con el comando passwd, pero no tengo idea de cómo hacerlo.

    
pregunta user53029 17.08.2016 - 03:06
fuente

2 respuestas

2

La aplicación sería grep ... o comm. Una vez que elegí qué lista quería comparar con mi archivo, simplemente ejecuté: 

grep -wo -f mypwordfile rockyoulistfile > pwordmatches

O si solo quieres un recuento numérico o total 

grep -wo -f mypwordfile rockyoulistfile | wc -l
    
respondido por el user53029 17.08.2016 - 19:06
fuente
2

Me doy cuenta de que estás pidiendo una aplicación que hace todo lo que estoy por describir, pero en lugar de eso, también consideraría lo siguiente:

  1. Busque en SkullSecurity varios diccionarios de contraseñas y contraseñas filtradas aquí: enlace
  2. Lea sobre el uso de herramientas como Hashcat para probar la fortaleza de la contraseña usando estos diccionarios: enlace
  3. Implemente un proceso adaptado a su base de usuarios específica, por lo que es posible que pueda activar alertas, generar informes y otros (es decir, verificaciones de contraseña rutinarias o aleatorias, notificación por correo electrónico, etc.). Grep también funciona, como probablemente ya hayas visto.

Siempre soy un defensor de saber cómo hacer algo al 100% a mano antes de buscar aplicaciones creadas previamente que solo logran el 85% de lo que necesito que haga.

    
respondido por el rdev5 17.08.2016 - 19:23
fuente

Lea otras preguntas en las etiquetas

¿La mejor opción para la protección contra DDoS en el servidor de DigitalOcean? Windows 10 no ejecuta la carga útil de meterpreter