CN109684850A - 测试密码的方法、装置、计算机设备和存储介质 - Google Patents

测试密码的方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN109684850A
CN109684850A CN201811333555.2A CN201811333555A CN109684850A CN 109684850 A CN109684850 A CN 109684850A CN 201811333555 A CN201811333555 A CN 201811333555A CN 109684850 A CN109684850 A CN 109684850A
Authority
CN
China
Prior art keywords
password
database
type
account information
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811333555.2A
Other languages
English (en)
Inventor
陈先亮
雷宇亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201811333555.2A priority Critical patent/CN109684850A/zh
Publication of CN109684850A publication Critical patent/CN109684850A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及渗透测试的技术领域,提供了一种测试密码的方法、装置、计算机设备和存储介质,包括:在应用的登录界面账户栏中输入用户的账户信息;获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确;本申请中提供的测试密码的方法、装置、计算机设备和存储介质,便于简单、便捷地测试用户账户对应的密码是否会被暴力破解。

Description

测试密码的方法、装置、计算机设备和存储介质
技术领域
本申请涉及渗透测试的技术领域,特别涉及一种测试密码的方法、装置、计算机设备和存储介质。
背景技术
用户的密码均存在暴力破解的风险,暴力破解指的是依次用各种可能的密码去验证账户,以达到破解账户的目的。目前,没有较好的测试密码是否会被暴力破解的测试方法;通过人工输入密码来破解,不够简便,人力成本较高,操作繁琐;同时测试用户是否被暴力破解的准确率不高。
发明内容
本申请的主要目的为提供一种测试密码的方法、装置、计算机设备和存储介质,便于测试密码数据库中的密码是否为对应用户账户信息的密码。
为实现上述目的,本申请提供了一种测试密码的方法,包括以下步骤:
在应用的登录界面账户栏中输入用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
进一步地,所述在应用的登录界面账户栏中输入用户的账户信息的步骤之前,包括:
按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。
进一步地,所述按照预设规则,建立预设的密码数据库的步骤,包括:
获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
进一步地,所述密码数据库为多个,所述按照预设规则,建立预设的密码数据库的步骤,包括:
根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的密码数据库。
进一步地,所述在预设的密码数据库中选择对应所述第一密码类型的密码的步骤,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
本申请还提供了一种测试密码的装置,包括:
第一输入单元,用于在应用的登录界面账户栏中输入用户的账户信息;
选择单元,用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
第二输入单元,用于将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
验证单元,用于接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本申请还提供了一种测试密码的方法,包括以下步骤:
获取用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本申请还提供了一种测试密码的装置,包括:
第一获取模块,用于获取用户的账户信息;
第二获取模块,用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
验证模块,用于依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本申请还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请中提供的测试密码的方法、装置、计算机设备和存储介质,具有以下有益效果:
本申请中提供的测试密码的方法、装置、计算机设备和存储介质,在应用的登录界面账户栏中输入用户的账户信息;获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确;便于简单、便捷地测试用户账户对应的密码是否会被被暴力破解。
附图说明
图1是本申请一实施例中测试密码的方法步骤示意图;
图2是本申请一实施例中测试密码的装置结构框图;
图3是本申请另一实施例中测试密码的装置结构框图;
图4是本申请另一实施例中测试密码的方法步骤示意图;
图5是本申请另一实施例中测试密码的装置结构框图
图6是本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请一实施例中提供了一种测试密码的方法,应用于用户终端,包括以下步骤:
步骤S1,在应用的登录界面账户栏中输入用户的账户信息;
步骤S2,获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
步骤S3,将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
步骤S4,接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
在本实施例中,上述登录界面包括用户终端上的网页、客户端的登录界面,上述账户信息为用户登录对应网页、客户端所需账户对应的信息。每一个账户信息都对应有唯一一个密码,用户登录对应网页、客户端时,需正确输入用户的账户信息以及对应的密码,输入正确时,用户才可以登录网页、客户端。
目前,用户的密码均存在暴力破解的风险,暴力破解指的是依次用各种可能的密码去验证账户,以达到破解账户的目的。本申请实施例中的方法则用来测试密码数据库中的密码是否为对应用户账户的密码,以此来判断用户账户对应的密码是否会被暴力破解,若被暴力破解,则用户的密码安全性不高。
因此,本实施例中,用户终端上预先设置有程序来执行上述方法中的步骤。如上述步骤S1所述的,在网页、客户端的登录界面上的账户栏中输入账户信息。
由于在特定的网页、客户端中,其对用户账户对应的用户密码设置有相应的密码类型要求,上述密码类型包括密码组合方式,密码字符个数等。具体地,例如网页A要求用户的密码为八位数字,网页B要求用户的密码为六位数,客户端C要求用户的密码必须为字母和数字的组合,不同的网页、客户端上,其对应的用户正确密码的密码类型会有所不同。
上述密码数据库中可以存储有不同密码类型的密码,在上述步骤S3中,如若将所有密码类型的密码都依次输入至登录界面,则有些密码必定是错误,例如,要求用户密码类型为字母和数字组合时,输入纯数字密码,则该纯数字密码必定无法破解上述账户。
因此,在本实施例中,如上述步骤S2所述的,获取登录上述网页、客户端的账户所对应的正确密码的第一密码类型,该第一密码类型必定为上述网页、客户端所要求的密码类型。然后,从上述密码数据库中选择对应所述第一密码类型的密码,该选择出的密码的密码类型必定为上述正确密码的第一密码类型。以此,可以增加破解用户账户的概率。
再如上述步骤S3所述,由于选择对应所述第一密码类型的密码是指选择出的密码的密码类型和所述第一密码类型相同。如此,将该选择出的密码输入至所述登录界面的密码栏中以进行登录,不仅可以提高破解账户的概率,而且可以减少输入密码的次数,降低资源占用,提高测试效率。
在输入账户信息以及密码并触发登录按钮之后,通过服务器验证输入的所述密码是否为对应所述账户信息的密码;如上述步骤S4所述的,若验证密码正确,用户终端接收到服务器下发的验证通过结果,则表明上述用户的账户被暴力破解,此时,则可以判定上述用户账户对应的密码会被密码数据库中的密码破解;若验证密码不正确,用户终端接收到服务器下发的验证不通过结果,则表明上述用户的账户没有被破解。上述服务器对输入的所述密码进行验证,即是验证输入的所述密码与上述用户的账户对应的正确密码是否相同,此外验证密码的过程为常规方式,在此不做过多赘述。
本实施例中,对上述用户账户的密码进行验证可以是在网页、客户端的服务器端完成,也可以是在网页、客户端的用户终端来完成。本实施例中,对上述对用户账户的密码进行验证在网页、客户端的服务器端完成。
另一实施例中,上述验证密码过程在用户终端上完成,因此上述用户终端的数据库中预先存储有对应上述账户信息的正确密码,以便于验证输入的密码是否为对应上述账户信息的密码。上述步骤S4则为:验证输入的所述密码是否为对应所述账户信息的密码。
本实施例中,通过上述方法,使用密码数据库中预先存储的密码依次去破解上述用户的账户,以达到测试上述账户是否会被暴力破解的目的。
在一实施例中,上述在应用的登录界面账户栏中输入用户的账户信息的步骤S1之前,包括:
步骤S10,按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。该密码数据库中的密码即用来测试用户的账户信息对应的密码。
具体地,上述步骤S10包括:
步骤S10a,获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
在本实施例中,上述密码数据库中存储的密码为互联网中高使用率的常用密码(例如互联网中使用率最多的前100个密码),或者互联网上他人根据用户习惯分析出来的常用密码(例如使用率最多的前100/1000个密码等)。即上述密码数据库中预先存储的密码为用户经常使用的密码,输入上述密码数据库中的密码,更加容易对上述用户账户对应的密码进行破解;若使用的是任意毫无规则的密码,则破解概率相对很低。
在另一实施例中,所述密码数据库为多个,上述按照预设规则,建立预设的密码数据库,所述密码数据库中存储有密码的步骤S10,包括:
步骤S10b,根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的所述密码数据库。
本实施例中,设置有多个密码数据库,且对于一个密码数据库,其中存储的密码对应的密码类型为同一种。例如,密码数据库A中存储的密码都是八位纯数字密码,密码数据库B中存储的密码都是字母和数字组合等,根据密码类型的不同,可以设置有多个与密码类型一一对应的密码数据库,并对每个密码数据库标注有密码类型标示,该密码类型标示标示出每一个密码数据库中密码所属的密码类型。
在本实施例中,上述在预设的密码数据库中选择对应所述第一密码类型的密码的步骤,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
本实施例中,在特定的网页、客户端中,其对用户账户对应的用户密码设置有相应的密码类型要求,上述密码类型包括密码组合方式,密码字符个数等。在本实施例中,如上述步骤S2所述的,获取登录上述网页、客户端的账户所对应的正确密码的第一密码类型,该第一密码类型必定为上述网页、客户端所要求的密码类型。然后再从多个密码数据库中选择出对应所述第一密码类型的密码数据库,再将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码输入至所述登录界面中进行测试,以验证输入的密码是否为对应所述账户信息的密码。本实施例中,选择出对应所述第一密码类型的密码数据库指的是,选择出的密码数据库的密码类型标示均与所述第一密码类型相同;由于上述每个密码数据库中存储密码的密码类型相同,因此选择出的密码数据库中密码的密码类型都是第一密码类型。如此,不仅可以提高破解账户的概率,而且可以减少输入密码的次数,降低资源占用,提高测试效率。
在一实施例中,上述按照预设规则,建立预设的密码数据库的步骤S10,包括:
步骤S10c,获取用户账户对应的正确密码中的每一位字符的组合方式,并根据所述正确密码的每一位字符的组合方式随机生成对应组合方式的测试密码;
步骤S10d,将所述测试密码存储于数据库中,以建立所述密码数据库。
在本实施例中,用于应用的测试阶段,所以可以预先获取到用户账户的正确密码,根据正确密码的每一位字符的类型,随机生成对应的测试密码,并将测试密码保存在密码数据库中。
例如正确密码为A01B23;则其组合方式为:第一位为字母,第二、三位为数字,第四位为字母,第五、六位为数字;
则如上述步骤S1c,可以根据上述组合方式的规则,随机生成对应规则的测试密码。例如B99D33、Z15H67等;使用这些测试密码去进行破解,相比于使用毫无规则的密码(比如ABC546)明显可以提高破解概率。
在一实施例中,上述接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确的步骤S4之前,包括:
步骤S41,发送获取临时token的请求至服务器;
步骤S42、接收到服务器下发的临时token,并输入所述临时token;
步骤S43,接收服务器对所述临时token的验证结果,验证结果为正确时,则进入上述步骤S4。
在本实施例中,有些网站为了防止他人通过脚本工具等自动访问网站,因此在验证用户的账户信息及密码是否对应之前,需要先通过一个临时token(临时令牌)来进行验证。具体地,在上述网站的登录界面中设置有一个获取临时token的按钮(例如获取验证码),如上述步骤S41,触发该按钮向服务器发送请求;服务器接收到该请求之后下发一个对应的临时token;如上述步骤S42,用户终端接收到上述服务器下发的临时token,将其输入至对应的选框中并触发相应的验证按钮;服务器对上述临时token进行验证,并将验证结果下发至上述用户终端;如上述步骤S43,用户终端则可以接收上述验证结果,若验证结果为正确时,则可以进一步地向上述服务器发送验证密码及账号的请求,并接收服务器对所述账户及密码的验证结果,以判定输入的所述密码是否为对应所述账户信息的密码。
参照图2,本申请一实施例中还提供了一种测试密码的装置,应用于用户终端上,包括:
第一输入单元10,用于在应用的登录界面账户栏中输入用户的账户信息;
选择单元20,用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
第二输入单元30,用于将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
验证单元40,用于接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
在本实施例中,上述登录界面包括用户终端上的网页、客户端的登录界面,上述账户信息为用户登录对应网页、客户端所需账户对应的信息。每一个账户信息都对应有唯一一个密码,用户登录对应网页、客户端时,需正确输入用户的账户信息以及对应的密码,输入正确时,用户才可以登录网页、客户端。
目前,用户的密码均存在暴力破解的风险,暴力破解指的是依次用各种可能的密码去验证账户,以达到破解账户的目的。本申请实施例中的方法则用来测试密码数据库中的密码是否为对应用户账户的密码,以此来判断用户账户对应的密码是否会被暴力破解,若被暴力破解,则用户的密码安全性不高。
因此,上述第一输入单元10在网页、客户端的登录界面上的账户栏中输入账户信息。
由于在特定的网页、客户端中,其对用户账户对应的用户密码设置有相应的密码类型要求,上述密码类型包括密码组合方式,密码字符个数等。具体地,例如网页A要求用户的密码为八位数字,网页B要求用户的密码为六位数,客户端C要求用户的密码必须为字母和数字的组合,不同的网页、客户端上,其对应的用户正确密码的密码类型会有所不同。
上述密码数据库中可以存储有不同密码类型的密码,在上述第二输入单元30中,如若将所有密码类型的密码都依次输入至登录界面,则有些密码必定是错误,例如,要求用户密码类型为字母和数字组合时,输入纯数字密码,则该纯数字密码必定无法破解上述账户。
因此,在本实施例中,如上述选择单元20所述的,获取登录上述网页、客户端的账户所对应的正确密码的第一密码类型,该第一密码类型必定为上述网页、客户端所要求的密码类型。然后,从上述密码数据库中选择对应所述第一密码类型的密码,该选择出的密码的密码类型必定为上述正确密码的第一密码类型。以此,可以增加破解用户账户的概率。
上述第二输入单元30中,选择对应所述第一密码类型的密码是指选择出的密码的密码类型和所述第一密码类型相同。如此,将该选择出的密码输入至所述登录界面的密码栏中以进行登录,不仅可以提高破解账户的概率,而且可以减少输入密码的次数,降低资源占用,提高测试效率。
在输入账户信息以及密码并触发登录按钮之后,通过服务器验证输入的所述密码是否为对应所述账户信息的密码;若验证密码正确,上述验证单元40接收到服务器下发的验证通过结果,则表明上述用户的账户被暴力破解,此时,则可以判定上述用户账户对应的密码会被密码数据库中的密码破解;若验证密码不正确,验证单元40接收到服务器下发的验证不通过结果,则表明上述用户的账户没有被破解。上述服务器对输入的所述密码进行验证,即是验证输入的所述密码与上述用户的账户对应的正确密码是否相同,此外验证密码的过程为常规方式,在此不做过多赘述。
本实施例中,对上述用户账户的密码进行验证可以是在网页、客户端的服务器端完成,也可以是在网页、客户端的用户终端来完成。本实施例中,对上述对用户账户的密码进行验证在网页、客户端的服务器端完成。
另一实施例中,上述验证密码过程在用户终端上完成,因此上述验证单元40则用于:验证输入的所述密码是否为对应所述账户信息的密码。
本实施例中,通过上述测试密码的装置,使用密码数据库中预先存储的密码依次去破解上述用户的账户,以达到测试上述账户是否会被暴力破解的目的。
在一实施例中,参照图3,上述装置还包括:
建立单元01,用于按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。该密码数据库中的密码即用来测试用户的账户信息对应的密码。
在一实施例中,上述建立单元01包括:
第一建立子单元,获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
在本实施例中,上述密码数据库中存储的密码为互联网中高使用率的常用密码(例如互联网中使用率最多的前100个密码),或者互联网上他人根据用户习惯分析出来的常用密码(例如使用率最多的前100/1000个密码等)。即上述密码数据库中预先存储的密码为用户经常使用的密码,输入上述密码数据库中的密码,更加容易对上述用户账户对应的密码进行破解;若使用的是任意毫无规则的密码,则破解概率相对很低。
在另一实施例中,所述密码数据库为多个,上述建立单元01包括:
第二建立子单元,根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的所述密码数据库。
本实施例中,设置有多个密码数据库,且对于一个密码数据库,其中存储的密码对应的密码类型为同一种。例如,密码数据库A中存储的密码都是八位纯数字密码,密码数据库B中存储的密码都是字母和数字组合等,根据密码类型的不同,可以设置有多个与密码类型一一对应的密码数据库,并对每个密码数据库标注有密码类型标示,该密码类型标示标示出每一个密码数据库中密码所属的密码类型。
在一实施例中,上述选择单元20在预设的密码数据库中选择对应所述第一密码类型的密码,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
本实施例中,在特定的网页、客户端中,其对用户账户对应的用户密码设置有相应的密码类型要求,上述密码类型包括密码组合方式,密码字符个数等。在本实施例中,上述选择单元20获取登录上述网页、客户端的账户所对应的正确密码的第一密码类型,该第一密码类型必定为上述网页、客户端所要求的密码类型。然后选择单元20从多个密码数据库中选择出对应所述第一密码类型的密码数据库,再将选择出的所述密码数据库中的密码输入至所述登录界面中进行测试,以验证输入的密码是否为对应所述账户信息的密码。本实施例中,选择出对应所述第一密码类型的密码数据库指的是,选择出的密码数据库的密码类型标示均与所述第一密码类型相同;由于上述每个密码数据库中存储密码的密码类型相同,因此选择出的密码数据库中密码的密码类型都是第一密码类型。如此,不仅可以提高破解账户的概率,而且可以减少输入密码的次数,降低资源占用,提高测试效率。
在一实施例中,上述建立单元01,包括:
生成子单元,用于获取用户账户对应的正确密码中的每一位字符的组合方式,并根据所述正确密码的组合方式随机生成对应组合方式的测试密码;
第三建立子单元,用于将所述测试密码存储于数据库中,以建立所述密码数据库。
在本实施例中,用于应用的测试阶段,所以可以预先获取到用户账户的正确密码,根据正确密码的每一位字符的类型,随机生成对应的测试密码,并将测试密码保存在密码数据库中。
例如正确密码为A01B23;则其组合方式为:第一位为字母,第二、三位为数字,第四位为字母,第五、六位为数字;
生成子单元可以根据上述组合方式的规则,随机生成对应规则的测试密码。例如B99D33、Z15H67等;使用这些测试密码去进行破解,相比于使用毫无规则的密码(比如ABC546)明显可以提高破解概率。
在一实施例中,上述测试密码的装置,还包括:
发送单元,用于发送获取临时token的请求至服务器;
第一接收单元,用于接收到服务器下发的临时token,并输入所述临时token;
第二接收单元,用于接收服务器对所述临时token的验证结果,验证结果为正确时,则进入上述验证单元执行的过程。
在本实施例中,有些网站为了防止他人通过脚本工具等自动访问网站,因此在验证用户的账户信息及密码是否对应之前,需要先通过一个临时token(临时令牌)来进行验证。具体地,在上述网站的登录界面中设置有一个获取临时token的按钮(例如获取验证码),发送单元触发该按钮向服务器发送请求;服务器接收到该请求之后下发一个对应的临时token;第一接收单元接收到上述服务器下发的临时token,将其输入至对应的选框中并触发相应的验证按钮;服务器对上述临时token进行验证,并将验证结果下发至上述用户终端;第二接收单元则可以接收上述验证结果,若验证结果为正确时,则可以进一步地向上述服务器发送验证密码及账号的请求,并接收服务器对所述账户及密码的验证结果,以判定输入的所述密码是否为对应所述账户信息的密码。
综上所述,为本申请实施例中提供的测试密码的方法、装置,在应用的登录界面账户栏中输入用户的账户信息;获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确;便于简单、便捷地测试用户账户对应的密码是否会被暴力破解。
参照图4,本申请一实施例中还提供了一种测试密码的方法,应用于服务器上,包括以下步骤:
步骤S10,获取用户的账户信息;
步骤S20,获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
步骤S30,依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本实施例中,在服务器上执行测试密码的方法,其具体实现过程同样是使用密码数据库中的密码与验证用户的账户,具体实现过程可参照上述方法实施例,在此不再进行赘述。不同在于,本实施例中的密码数据库存储于服务器,服务器不用去登录界面输入密码,只需要从密码数据库中获取到密码进行用户账户的验证。
参照图5,本申请一实施例中还提供了一种测试密码的装置,应用于服务器上,包括:
第一获取模块100,用于获取用户的账户信息;
第二获取模块200,用于用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
验证模块300,用于依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本实施例中,在服务器上设置测试密码的装置,其具体实现过程同样是使用密码数据库中的密码与验证用户的账户,具体实现过程可参照上述装置实施例,在此不再进行赘述。不同在于,本实施例中的密码数据库存储于服务器,服务器不用去登录界面输入密码,只需要从密码数据库中获取到密码进行用户账户的验证。
参照图6,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储密码等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种测试密码的方法。
上述处理器执行上述测试密码的方法的步骤:
在应用的登录界面账户栏中输入用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
在一实施例中,上述处理器在应用的登录界面账户栏中输入用户的账户信息的步骤之前,包括:
按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。
在一实施例中,上述处理器按照预设规则,建立预设的密码数据库的步骤,包括:
获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
在一实施例中,所述密码数据库为多个,上述处理器按照预设规则,建立预设的密码数据库的步骤,包括:
根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的密码数据库。
在一实施例中,上述处理器在预设的密码数据库中选择对应所述第一密码类型的密码的步骤,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
在另一实施例中,上述处理器执行上述测试密码的方法的步骤:
获取用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本申请一实施例还提供一种计算机存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种测试密码的方法,具体为:
在应用的登录界面账户栏中输入用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
在一实施例中,上述处理器在应用的登录界面账户栏中输入用户的账户信息的步骤之前,包括:
按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。
在一实施例中,上述处理器按照预设规则,建立预设的密码数据库的步骤,包括:
获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
在一实施例中,所述密码数据库为多个,上述处理器按照预设规则,建立预设的密码数据库的步骤,包括:
根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的密码数据库。
在一实施例中,上述处理器在预设的密码数据库中选择对应所述第一密码类型的密码的步骤,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
在另一实施例中,上述处理器执行上述测试密码的方法的步骤:
获取用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
综上所述,为本申请实施例中提供的测试密码的方法、装置、计算机设备和存储介质,在应用的登录界面账户栏中输入用户的账户信息;获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确;便于简单、便捷地测试用户账户对应的密码是否容易被暴力破解。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储与一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM通过多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种测试密码的方法,其特征在于,包括以下步骤:
在应用的登录界面账户栏中输入用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
2.根据权利要求1所述的测试密码的方法,其特征在于,所述在应用的登录界面账户栏中输入用户的账户信息的步骤之前,包括:
按照预设规则,建立预设的密码数据库;其中,所述密码数据库中存储有密码。
3.根据权利要求2所述的测试密码的方法,其特征在于,所述按照预设规则,建立预设的密码数据库的步骤,包括:
获取互联网中使用的常用密码的使用率排序,并将排序在预设排序名次内的常用密码存入第一数据库中作为预设的所述密码数据库。
4.根据权利要求2所述的测试密码的方法,其特征在于,所述密码数据库为多个,所述按照预设规则,建立预设的密码数据库的步骤,包括:
根据预设密码的密码类型对所述预设密码进行分类,将分类后的预设密码按照密码类型一一对应存入至预设的多个第二数据库中,以建立多个不同密码类型的密码数据库。
5.根据权利要求4所述的测试密码的方法,其特征在于,所述在预设的密码数据库中选择对应所述第一密码类型的密码的步骤,包括:
在所述多个不同密码类型的密码数据库中选择对应所述第一密码类型的密码数据库,并将选择出的所述密码数据库中的密码作为对应所述第一密码类型的密码。
6.一种测试密码的装置,其特征在于,包括:
第一输入单元,用于在应用的登录界面账户栏中输入用户的账户信息;
选择单元,用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
第二输入单元,用于将所述选择的密码依次输入至所述登录界面的密码栏中,以进行登录;
验证单元,用于接收服务器对所述账户信息以及密码的验证结果,判断输入的所述密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
7.一种测试密码的方法,其特征在于,包括以下步骤:
获取用户的账户信息;
获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
8.一种测试密码的装置,其特征在于,包括:
第一获取模块,用于获取用户的账户信息;
第二获取模块,用于获取所述账户信息对应的正确密码的第一密码类型,并在预设的密码数据库中选择对应所述第一密码类型的密码;
验证模块,用于依次验证对应所述第一密码类型的密码是否为对应所述账户信息的密码,以测试输入的密码是否正确。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项或权利要求7中所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项或权利要求7中所述的方法的步骤。
CN201811333555.2A 2018-11-09 2018-11-09 测试密码的方法、装置、计算机设备和存储介质 Pending CN109684850A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811333555.2A CN109684850A (zh) 2018-11-09 2018-11-09 测试密码的方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811333555.2A CN109684850A (zh) 2018-11-09 2018-11-09 测试密码的方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN109684850A true CN109684850A (zh) 2019-04-26

Family

ID=66185760

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811333555.2A Pending CN109684850A (zh) 2018-11-09 2018-11-09 测试密码的方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN109684850A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112105017A (zh) * 2020-08-12 2020-12-18 杭州安恒信息安全技术有限公司 物联网设备的密码探测方法、装置、电子装置和存储介质
CN115276983A (zh) * 2022-07-29 2022-11-01 四川启睿克科技有限公司 一种用于渗透测试的密码字典管理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886248A (zh) * 2014-04-08 2014-06-25 国家电网公司 一种网站弱口令的检测方法
CN104683127A (zh) * 2013-11-27 2015-06-03 北京神州泰岳软件股份有限公司 一种设备弱口令集中核查的方法和系统
CN105095737A (zh) * 2014-04-16 2015-11-25 阿里巴巴集团控股有限公司 检测弱密码的方法和装置
CN106559222A (zh) * 2016-11-28 2017-04-05 广东省信息安全测评中心 穷举法解密中目标口令规则集获取方法与系统
CN107733847A (zh) * 2017-07-25 2018-02-23 上海壹账通金融科技有限公司 平台登录网站方法、装置、计算机设备以及可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104683127A (zh) * 2013-11-27 2015-06-03 北京神州泰岳软件股份有限公司 一种设备弱口令集中核查的方法和系统
CN103886248A (zh) * 2014-04-08 2014-06-25 国家电网公司 一种网站弱口令的检测方法
CN105095737A (zh) * 2014-04-16 2015-11-25 阿里巴巴集团控股有限公司 检测弱密码的方法和装置
CN106559222A (zh) * 2016-11-28 2017-04-05 广东省信息安全测评中心 穷举法解密中目标口令规则集获取方法与系统
CN107733847A (zh) * 2017-07-25 2018-02-23 上海壹账通金融科技有限公司 平台登录网站方法、装置、计算机设备以及可读存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112105017A (zh) * 2020-08-12 2020-12-18 杭州安恒信息安全技术有限公司 物联网设备的密码探测方法、装置、电子装置和存储介质
CN112105017B (zh) * 2020-08-12 2024-05-31 杭州安恒信息安全技术有限公司 物联网设备的密码探测方法、装置、电子装置和存储介质
CN115276983A (zh) * 2022-07-29 2022-11-01 四川启睿克科技有限公司 一种用于渗透测试的密码字典管理方法

Similar Documents

Publication Publication Date Title
US8806591B2 (en) Authentication risk evaluation
US9680836B2 (en) Generation of a visually obfuscated representation of an alphanumeric message that indicates availability of a proposed identifier
CN108011863B (zh) 识别暴力破解的方法及装置
US7853984B2 (en) Methods and systems for authentication
EP2783319B1 (en) Providing verification of user identification information
CN1845489B (zh) 验证信息生成装置及其方法、反自动机验证装置及其方法
US10587612B2 (en) Automated detection of login sequence for web form-based authentication
CN104428785B (zh) 使用图标的关键字的图标密码设定装置以及图标密码设定方法
US9485260B2 (en) Method and apparatus for information verification
EP1829281A1 (en) Authentication device and/or method
US20030177366A1 (en) Method and apparatus for dynamic personal identification number management
CN106453206A (zh) 一种身份验证方法和装置
WO2012040869A1 (en) User account recovery
CN113326488A (zh) 一种个人信息保护系统以及方法
Yuan et al. Developing Abuse Cases Based on Threat Modeling and Attack Patterns.
Catuogno et al. Analysis of a two-factor graphical password scheme
CN109684850A (zh) 测试密码的方法、装置、计算机设备和存储介质
US20100024018A1 (en) Keyboard Display Posing An Identification Challenge For An Automated Agent
CN108111533A (zh) App的注册登录方法及系统
CN110113346A (zh) 一种网络验证方法、用户终端及服务器
CN107231358B (zh) 一种问卷数据采集方法、服务器及移动终端
Belk et al. A personalized user authentication approach based on individual differences in information processing
CN106446660A (zh) 提供验证码的方法、系统及终端设备
CN113196263B (zh) 用户认证系统、用户认证服务器及用户认证方法
US11381555B2 (en) State token based approach to secure web applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination