看好你的门-验证机制被攻击(7)-可预测的用户名和密码

首先需要声明，本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解，仅供用于web系统安全方面的参考。

1、 简单说明

一些应用程序根据某种顺序自动生成帐户名，当然，现在邮箱、手机、QQ号码成为用户名的可能性越来越高，攻击者们也越来越省事了；

一些应用程序在大批量创建用户之后，并自动指定初始密码，然后通过某种方式（邮件、短信）将密码分配给用户。

2、 常见的可预测用户名和密码的漏洞

用户名和密码都能够预测了，理所当然的，这里的漏洞就很大的。

可预测的初始化密码，让攻击者能够预测其他应用程序用户的密码，基于内网的企业应用程序经常存在这种漏洞。

如果所有用户都收到相同的密码，或者根据用户名和职务、ID、手机号码等创建的密码，这种密码非常容易被攻破。

比这个更加糟糕的是，很多人有了初始密码之后，几乎不做修改，就一直使用；如果初始密码过于复杂，很多人会从一个极端走向另外一个极端，使用尽可能的简易密码。

3、 常用的攻击策略

如果密码是应用程序生成，设法获得几个尽可能连续的密码，看看是否存在顺序或者模式；

如果存在顺序或者模式，依旧这种方法进行推断，其他系统用户的密码；

如果密码呈现一种可能和用户名有关的联系，那么直接去推测其他用户名和密码；

如果没有能够发现的顺序或者模式，那么这一些系列的用户名和密码，是作为蛮力破解的基础。