一种弱口令检测方法、终端设备及存储介质与流程

1.本发明涉及弱口令检测领域，尤其涉及一种弱口令检测方法、终端设备及存储介质。


背景技术：

2.近年来随着互联网技术的不断发展，针对互联网的入侵率、攻击率在不断提升，互联网系统的安全性也越来越得到重视。在安全方面，系统中服务弱口令问题虽然算是较低的安全隐患，但是被利用的频率很高，造成的影响较大。如何利用现有技术和方法，及早检测出服务中存在的弱口令问题是安全防御中重要的一个环节。
3.现有服务弱口令检测方式一般有2种，一种是暴力检测，即通过调用服务客户端相关通信api(或相关爆破工具)，并在api(爆破工具)参数中输入弱口令字典中的账号、口令进行破解；一种是嗅探关键字检测，即在服务出口处抓取客户端与服务端认证流量，提取其中可能为账号、密码的变量，然后通过弱口令字典判断抓取的账号、密码是否为弱口令。
4.针对vnc弱口令，暴力检测vnc弱口令是最传统的一种方式，准确率很高，但是会与服务端建立大量会话，可能会导致正常业务会话无法建立，同时，如果vnc一旦支持多次错误认证锁定账号机制，这种检测效果就大打折扣了。嗅探关键字检测在vnc认证流量是明文情况下，可以抓取到密码相关信息破解密码，验证是否为弱口令。但是这种检测方式有其局限性，首先必须要有正常的认证流量供嗅探，其次嗅探过滤条件如果配置不当可能会抓取许多不必要的流量，影响性能，最后vnc认证过程必须是明文，如果vnc认证采用tls、sasl等加密方式做认证，这种方式就不适用了。


技术实现要素：

5.为了解决上述问题，本发明提出了一种弱口令检测方法、终端设备及存储介质。
6.具体方案如下：
7.一种弱口令检测方法，包括以下步骤：
8.s1：读取待检测服务对应的配置文件，对配置文件进行解析，以提取其内的用于待检测服务登录的账号和账号对应的密码密文，同时分析待检测服务对应的源码文件，提取出加密算法和加密秘钥；
9.s2：根据加密算法，通过加密秘钥对密码密文进行解密，得到密码明文；
10.s3：加载弱口令字典，将明文密码与弱口令字典中的各弱口令进行匹配，如果能够匹配，则判定密码明文为弱口令。
11.进一步的，待检测服务为vnc，则用于vnc登录的账号通过配置文件中的vncservers的内容获取。
12.进一步的，待检测服务为vnc，则加密算法以及加密秘钥从vncpasswd源码中分析获取。
13.进一步的，待检测服务为vnc，则当密码密文的存储文件为16字节时，将前8字节与
后8字节的密文分别进行解密，以得到管理密码明文和只具有访问权限的密码明文。
14.一种弱口令检测终端设备，包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
15.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
16.本发明采用如上技术方案，并具有以下技术效果：
17.1、不会暴力的向vnc服务发起认证流量，占用大量cpu、网络io资源，甚至影响正常的认证；
18.2、不用抓取正常的认证流量来嗅探账号和密码，没有影响业务的风险；
19.3、不会被其它系统判断为攻击行为。
附图说明
20.图1所示为本发明实施例一的流程图。
21.图2所示为该实施例中vnc账号存储文件示意图。
22.图3所示为该实施例中16字节密文存储文件示意图。
23.图4所示为该实施例中8字节密文存储文件示意图。
24.图5所示为该实施例中des算法的解密流程图。
具体实施方式
25.为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
26.现结合附图和具体实施方式对本发明进一步说明。
27.实施例一：
28.本发明实施例提供了一种弱口令检测方法，以vnc服务为例进行说明。如图1所示，所述方法包括以下步骤：
29.s1：读取vnc对应的配置文件，对配置文件进行解析，以提取其内的用于vnc登录的账号和账号对应的密码密文，同时分析vnc对应的源码文件，提取出加密算法和加密秘钥。
30.vnc对应的配置文件为vncservers，如图2所示，其中的“vncservers”字段存储的值就是桌面号和对应的账号名，存储格式为：“桌面号：账号名桌面号：账号名”。各账号使用的登录密码的存储位置vnc通过vncpasswd指令设置和加密，存储格式如图3和图4所示，其中图3为vnc密码加密后的16字节密文存储文件，图4为vnc密码加密后的8字节密文存储文件，其中16字节密文中的前8字节为管理密码密文，后8字节为只具有访问权限的密码密文。
31.解密加密的密码首先需要知道加密的算法和加密密钥才能推导怎么实现解密方案，而加密算法和加密密钥可以从vncpasswd源码中分析得到，该实施例中分析后得出：加密算法为des(data encryption standard，数据加密标准)，加密密钥为8个字节的10进制数“23 82 107 6 35 78 88 7”。由于des是对称加密算法，加密密钥即是解密密钥。
32.s2：根据加密算法，通过加密秘钥对密码密文进行解密，得到密码明文。
33.对密码密文进行解密只需实现des的解密方法，然后输入解密密钥、密文就可得到明文密码。需要注意的是，对于密文存储文件为16字节时，需要分开解密，即管理密码密文和只具有访问权限的密码密文分别进行解密。通过des算法的解密流程如图5所示。
34.s3：加载弱口令字典，将明文密码与弱口令字典中的各弱口令进行匹配，如果能够匹配，则判定密码明文为弱口令。
35.弱口令字典为存储有已知弱口令的字典。
36.需要说明的是，当解密得到多个密码明文时，需要对多个密码明文分别判断是否为弱口令。
37.另外，针对vnc之外的其他服务，只需分析其服务账号和密码的存储原理，均可采用本实施例方法进行弱口令的检测。
38.实施例二：
39.本发明还提供一种弱口令检测终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
40.进一步地，作为一个可执行方案，所述弱口令检测终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述弱口令检测终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，上述弱口令检测终端设备的组成结构仅仅是弱口令检测终端设备的示例，并不构成对弱口令检测终端设备的限定，可以包括比上述更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述弱口令检测终端设备还可以包括输入输出设备、网络接入设备、总线等，本发明实施例对此不做限定。
41.进一步地，作为一个可执行方案，所称处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述弱口令检测终端设备的控制中心，利用各种接口和线路连接整个弱口令检测终端设备的各个部分。
42.所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述弱口令检测终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据手机的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
43.本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
44.所述弱口令检测终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，
本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)以及软件分发介质等。
45.尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。