背景需求
很多公司都用AD域来管理内部的办公终端和账号,正所谓有人的地方就有隐患,AD域最大的问题一般也是人的问题,即使用弱口令。
域控组策略一般默认配置了密码的安全策略,不过默认的限制都比较低,就算自定义加强配置,还是强度较低,比如Aa123456
这是满足默认强度策略的密码,可以修改成功,但是很明显,它是个弱口令。
除了这些,还有一些企业内部特色的弱口令,例如:Gg123456Gem12345等,甚至有使用用户名+123等方式作为密码。现在弱口令也没有明确的定义,通常认为容易被别人猜测到或被猜测工具猜测到的口令均为弱口令。有可能这一秒还是强口令,但是下一秒被别人彩虹表收录了,就变成弱口令了。所以企业内部必须定期自查,防止使用弱口令。
实现方式
企业内部针对弱口令有多重检测方式,本例采用ldap方式进行进行密码登录测试。
注意:
1.脚本可以检测域用户是否为弱口令,如果为弱口令,则记录至指定的文件。
2.如果域控制器已经开启密码锁定策略,会影响检测结果。