手把手教社会工程学攻击教程之密码破解案例示范

admin
34610admin首席执行运营官
2017-04-07 00:10:42
34610 2017-04-07 00:10:42
手把手教社会工程学攻击教程之密码破解案例示范
一、破解某公司会议室路由器密码
【公司信息】:IT行业;公司名称两个汉字,全部拼音为10个字母;英文简写为4个字母,假设为abcd;会议室在16楼,号码已经忘记,以1601作为示例。
【路由器类型】:TP-link品牌某型号路由器,登录地址为192.168.1.1,不具备无限功能,有线登录时也需要账号密码
【网管人员】:认识的人,性格有点墙头草,容易左右摇摆;一旦跟他说话时语气强硬,对方则深怕会得罪你的样子;开会时经常心不在焉,说话有时不着边际;做事拖沓,有头无尾
【破解过程】:
    首先,分析网管人员的性格特点,由于是IT从业人员,因而通常具备较强的密码保护意识,因而不大可能使用无脑型密码,此外,从此人做事的习惯来看,可看出其对专业服务意识及自我认同度较差,不大可能使用严格的加密法。
其次,上述性格类型的人通常有一种不安全感,因而,其设置的密码不大可能使用他自己的个人信息;此外,做事不认真的人通常有一定惰性,其设置的密码不会太长,八位至十位是最有可能的位数。
其三,由上述两条可以判断,密码使用最大的可能要么是公司名全部拼音的10个字母,要么是英文缩写的简单重复或者英文缩写加上1601,也有可能是房间好的简单重复;进一步分析,此网管头脑简单,通常他宁愿使用16011601这样的序列,也不会有那心情去对后面的那个1601进行倒序。
最后,账号名通常会使用约定俗称的字母组成,且很可能是4位到6位,所以,账号很大可能是公司简称abcd。
【最终结果】:
账号:abcd
密码:16011601
【对象分析】从密码逆推网管人员的性格:

     平时对其印象完全正确,此人可做朋友,因为他没有什么心机,不会害你,但不可共事,因为缺乏责任感。日后项目重要节点的相关事项尽量不能托付给他,即使不得已托付此人,也必须保持高度警惕,不时跟进。然而,非常遗憾的是,最后关头我依然险些栽在此人手里,那是为了校对数据,由于当时系统有多个平台,而校对数据必须在真实平台上进行,在校对前,我特意向他用邮件和电话确定真实平台地址,后来安排了自己公司和合作单位的20几个人校对了整整一天,最后还是发现此人给我的地址是个测试平台地址,气得老子当着公司和他们公司领导的面狠狠地耍了一回酷,不过气归气,工作却得从头再来,于是只好一边找了10几个人,说了半天的好话,熬到半夜两点多才把所有数据校对完毕,总算没有拖慢项目进度!
二、破解某同事个人密码

【对象个人信息】:
     IT公司中层经理,多个项目参与者及主要负责人;做事认真,有条不紊,名牌大学毕业;为人圆滑、精明——应该说我很少遇到这么聪明的人;对自己的业务能力极度精通,在公司人称“鬼才”;性格平和,对下属非常宽容,经常面带微笑,拥有很强的人格魅力;思维严谨,经常看有关人性和数学方面的书籍


【破解过程】:
     首先,由于此人从属于IT行业,加上拥有很高的智商,因而通常拥有很强的密码保护意识,绝不可能使用无脑型密码——应该说,觉得他会使用无脑型密码就是对他智商的侮辱。
     其次,他也不大可能会在密码中透露自己的个人信息和爱人的身份信息,使用广州家里的电话号码,办公室号码和手机的可能性也不大,除非是老家的电话号码。
     再次,由于其强烈的密码保护意识,他的密码通常会比普通人的要长,有可能会达到13位以上。再次,最大可能是此人会使用“图腾”,由于其思维的严密性,喜欢数学,空间思维能力较强,会比较注重对称美,加上强烈的密码保护意识,很有可能会使用下划线,并且下划线的位置会高度体现对称美。
     再次,其使用的图腾极有可能是很多人平时容易忽略的常识性意象物,并且很有可能与其爱好有关,这时候一个意念物在我脑中一闪而过——圆周率π!印象中第一次接触这个常数倒不是在数学课,而是在历史课上,现在依然记得老师跟我们吹嘘的中国历史,还记得祖冲之及“3.1415926至3.1415927之间”这句话。的确,对于一个酷爱数学的人来说,如果在数学世界里采用某个常数作为密码的意象物,还有什么比这个东西更合适的?
     既是圆身上的东西,本身就是完美的象征,同时其通常被记住的位数是8位,在长度上也非常符合密码使用的习惯。
最后就是组合了,小数点很有可能会采用下划线或者p(point)代替,首选3.1415926,这其实是一个无限循环的数字,而无限的符号我们知道,是一个横着写的8,对于高度注重对称美的数学爱好者来说,很可能会在数字和无限之间进行一下区分。
     于是,我首先想到的两个密码3_1415926_8还有3p1415926_8,用其邮箱进行验证,结果均失败,数一下长度,只有11位,而且第一个还没有字母,而前面说过,通常使用下划线的人密码保护意识是很强的,通常使用了下划线,那么,其密码很可能包括数字和字母——字母嘛,首先想到的当然是他的名字缩写,为了不透露他的个人隐私,假设他叫张三好了。
     最后,当我破解了他的密码的时候,我差点兴奋得跳了起来,足足高兴了几天,连睡觉都合不拢嘴!女朋友很好奇问我为什么这么高兴,我一直都是笑而不语!
【最终结果】:
密码:zs_3_1415926_8
【对象分析】从密码逆推此君的性格:


     此人对自我要求很高,有强烈完美主义倾向——从使用圆周率作为密码并且密码体现高度对称美可以看得出来;
     其次,此人自信但不自负,如果非常自负,那么,他完全没有必要在在最前面使用自己的姓名,因为通常来说很少有人会想到用圆周率这种意象物作为自己的密码,自负的人会认为使用圆周率已经足够;
     这种人通常胸怀宽广,能接受别人的意见或者建议,经常会反躬自省自己的错误并予以改正,生活中,他会是一个良师益友,工作上,他会是给力的伙伴,既可深交也可共事。
     但是,其缺点是做事一旦关乎自己,有时候会过于追求完美,从其密码所使用的下划线高度体现对称可以看得出来,这种人打工迟早会成为一个优秀的项目管理人或高层经理,但是,开拓自己的事业却不容易打破常规。
     不管怎样,在工作过程中我一直与此君相处得很好,从来没有红过脸,对我这个脾气暴躁的人来说这是甚为难得的,很大一部分原因我想是源于我对他发自内心的尊重,甚至当我知道了他的密码以后,一直以来还带着深深的负罪感和愧疚感,因而都很少联系他了!
三、破解某邻居的QQ密码

【对象个人信息】:
     85后,男性,每天都见面,每次见面时都会彼此很客气地打招呼,聊过几次天;聊天过程其发音非常清楚,说话偶尔会骂两句,说话简洁,非常富有条理性,极少包含“那个”,“然后”这种潮汕人俗称“话屎”的词语;他对社会上的一些现象非常强烈的反感;眼神清澈,给人的感觉非常阳光,健康;有时爱与我聊中国古文化,西方启蒙时期的哲学与思想,并且一聊起来双眼发光,极其兴奋。
【破解过程】:
     首先,聊天时知道了他的出生年份1987年,同时还知道了他的名字,假设为“李四”,还知道他出身于农村。
     其次,眼神清澈,而且一见面就愿意向你敞开心扉讲心里话的人通常涉世未深,通常缺少防范意识,这类人的密码保护意识通常也比较差,猜测其密码有可能是姓名加上出生年月日的组合。
     再次,说话条理清晰,不带任何“话屎”,而且喜欢聊哲学,这让我想起我的很多射手座朋友,以次推断他可能属于射手座。
     再次,射手座生于每年的11月23日——12月21日,尝试用他的名字拼命lisi加上19871201这样的组合进行测试,尝试大约三十次全部失败。
     突然,我想得他来自农村,父母在80年代那个时候,极有可能仍在使用农历,因此,注册他身份证的时候,很有可能跟我一样采用农历,上网用万年历查下1987年阳历11月23日——12月21日这段时期所对应的农历日期,对应的农历时间段是10月初三至11月初一。
【最终结果】:
密码:lisi_19871011
【对象分析】从密码逆推此君的性格:


     此君懂得使用下划线,说明他还有一定的密码保护意识,但是,从其使用自己姓名加上生日这一点可以判断他社会经验缺乏,应该较少与社会上的人接触,应该是宅男一类的人,工作不可能是销售类和管理类,很有可能是技术类。这种人通常比较爱交朋友,也非常值得交往,是那种你有万贯家财,到了重要的时候都可以放心托付给他一类的人。后来与他进一步的交往中一步步印证了我的论断。


泽维提给大家的重要建议:


     个人密码加密建议需要使用密码的场合通常是银行的账号,其他的绝大多数则通常是上网的各种邮箱、某些客户端软件、或者的登录密码。绝大多数人上网时候都会使用一个固定的密码,而且基本上没有修改密码的习惯,因此,只要你在某个的密码一旦泄露,那么,很可能你的所有邮箱、游戏账号等密码都会被人家一锅端。
     存在这种现象其实很容易理解,就是因为人的惰性,而且现在的网站那么多,如果针对各个网站去设置不同的密码,对于很多人来说,几乎是不可能完成的任务,因为这样你不仅需要记忆几十个甚至上百个密码,还必须记忆各个密码与各个网站的对应关系。
     其实,有一种办法可以保证你的密码可以随着不同网站而进行变换,同时又不需要记忆对应关系的。以下就以这种方法作为切入点,对大家的密码设置提供一些建议,这种办法我们不妨命名为“随机有据字符加固定序列密码”。
一、随机有据字符加固定序列密码


     这个名词拥有三个关键词——随机、有据、固定。先说“固定”,固定就是指你经常使用的密码,在你每个密码中都会出现的一个字符段,假如你已经用惯了某个密码,并且这个密码你把他用在绝大多数的地方,那么,就以这个密码作为固定序列,放在你新密码之中;所谓“随机”,指的是你设置的时候事先并不知道要设置什么样的字符,而是根据不同的网站或客户端进行变动,


     但是,其变动是有规则的,这个规则是你自己定的,而且不会让任何人知道;所谓“有据”,这个根据,则与网站的某一种要素挂钩,我推荐使用网站的名字,目的是方便你自己的记忆。以下我举个例子,你就会很清楚地理解这种所谓的“随机有据字符加固定序列密码”的特点了。

     假如你以往所常用的密码是qwert123,那么,在你的新密码中,同样保留这个字段,现在你自己定义这样一种规则:以网站的名称作为依据,登录任何一个网站,就以其名称作为参照物,截取其名称的第一个字母(或数字)和最后一个字母(数字),分别放在固定密码段的开头和结尾。
     例如:上新浪网,其名称为sina,那么,分别截取s和a,添加在你的固定密码组开头和结尾,那么,你在新浪上的密码就是sawrt123a;如果是迅雷的客户端,取其网站名Thunder的首字母t和最后一个字母r,这样你的迅雷地址就变成了tawrt123r,由于多了这样一层保护,那么,即使你的新浪微博密码丢失了,那么,别人也不容易用这个密码来盗取你的迅雷账号、qq号码,而且由于这种密码命名规则简单,你完全可以照用你原来的密码段,不用去修改密码输入的习惯。

     上述的命名规则完全由你自己来定,除了那种截取头尾的规则以外,还可以这样:截取网站名的首个字母或数字,同时数一下这个网站名的位数,如果是奇数,字母取大写;如果是偶数,字母取小写,将它加到你固定密码组的开头或者结尾;如果截取到的是数字,那么,同样数一下网站名的位数,如果是奇数,那么保留这样一个位数,如果是偶数,则将其双写,加到你的固定密码序列上。


     示例:sina,baidu,163和2144,sina包含4个字母,所以截取第一个字母的小写s;baidu是5个字母,于是截取其第一个字母的大写B;163是3个字符,于是取其第一个数字1,2144是4个字符,于是取其第一个数字的复写22,添加到你的固定密码组上,于是,你的新浪密码是sqwert123,百度密码则变成了Bqwert123,网易邮箱变成了1qwert123,2144网站的密码则变成了22qwert123。
    总之,怎么组合就看你自己考虑了,但随机段截取的规则一定要清晰可行,并且自己要牢记,而且随机字段包含的信息越少越好,太多未必能保护自己的密码,相反更容易让有心人发现规律。
二、关于固定字符段的建议

     坚决不使用自己证件上所能查看到的信息,包括生日、证件号码、姓名及其缩写等等,同样也坚决不使用爱人和孩子的同类相关信息。更不要使用无脑型密码。


     可以使用电话号码,但是电话号码尽量使用老家的电话号码,并且对该电话号码添加或者减少一至两位的防盗码。
     可以使用爱人的昵称,但这个昵称最好是只有你和对方彼此知道的,尤其是互相吹枕头风的时候才使用的那种称谓。
    对于银行卡密码,如果你非要向爱人表达爱意,也可以使用你们的结婚纪念日或者其生日,但是一定进行诸如倒序、移位、加码等相关操作。例如:你们的结婚纪念日是2012年7月5日,你非要使用201275或者120775这样的数字,用倒序的观点,就成了572102和577021,;用移位的观点,不妨设置成720125或者071275;用加码的观点,可以是只加一位,变成201276和120776,也可以每位加1,312386,231886,什么规则由你自己选择,关键是你自己要容易记住,而别人又难以看懂。不要小看这种简单的操作,它很可能就是防止你密码泄露的关键。
    不需要考虑对称美,密码又不是让人看的,相反是见不得光的,见不得光的对称只能是孤芳自赏,因而,建议你采用下划线或者数字的时候,将其打乱之后插入字母中,最好其结构是一旦写出来会让人看着很别扭的那种——看着越别扭的密码越是好密码,相信我没错的
    强烈建议使用图腾,因为那是你内心深处的东西,有时候即使是你最亲密的人都未必真正了解你内心深处在想什么,陌生人更加难以猜测。
某些字母和数字之间由于形很相似,因而,当你需要使用数字时,不妨用字母进行一下伪装,反之亦然。包括1和l,2和z,6和b,8和B,9和q,0和o。
     没有必要定期修改你的固定字符段,那个意义不大,相反很可能会很容易就把自己弄晕,当然前提是你能做到上述提到的那些密码规则
三、关于安全问题的建议

    现在有很多网站尤其是,为了所谓的安全性考虑,用户注册时通常会要求设置安全问题。以我自己的经验来看,那几乎是毫无作用的,这些安全问题通常会让你从8个左右的问题选择一个进行回答,很多人为了简单易记,通常会选择生日,这本来是没有什么问题的,问题在于电脑是没有智能的,它没有所谓的时间概念,相反,却有严格的格式概念,例如:某人生日是1980年1月1日,对于人来说,当某人问起你生日的时候,无论你是回答1980年1月1日,还是80年元旦,亦或是800101,都是一个概念,这个概念指向同一个目标,这个目标就是时间。


     然而对电脑来说,这几个却是完全不同的概念,对于电脑来说19800101与8011有着极大的差别,因而,有可能一些不同网站问你的是同一个问题,但是你在回答的时候却使用了不同的格式,这样注册多了,最后很可能连你自己都搞混了,有时候甚至会导致你自己连密码都修改不了。
   因而,我的习惯是除非网站指定安全问题为必填,否则我一律不填,如果填的话,我会随便选择一个问题,并且任何网站的任何安全问题,我都使用同一个标准格式,以前我使用的是“关你鸟事啊”,电脑问我你小学上那所学校啊?你爱人叫什么名字?我都一律回答“关你鸟事啊”——本来我怎样就不关你电脑的事,还不是“关你鸟事”吗?


本文标题:手把手教社会工程学攻击教程之密码破解案例示范
本文作者:admin
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t413.html
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan