1什么是弱口令

　　弱口令(weakpassword)没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。

　　危害

　　在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。

　　安全口令

　　1.不使用空口令或系统缺省的口令，因为这些口令众所周知，为典型的弱口令。

　　2.口令长度不小于8个字符。

　　3.口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。

　　4.口令应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

　　5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。

　　6.口令不应该为用数字或符号代替某些字母的单词。

　　7.口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。

　　8.至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。

　　弱口令

　　2弱口令的扫描

　　1什么是超级弱口令检查

　　超级弱口令检查工具是一款Windows平台的弱口令审计工具，支持批量多线程检查，可快速发现弱密码、弱口令账号，密码支持和用户名结合进行检查，大大提高成功率，支持自定义服务端口和字典。工具采用C#开发，需要安装.NETFramework4.0，工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。工具特点：1.支持多种常见服务的口令破解，支持RDP（3389远程桌面）弱口令检查。2.支持批量导入IP地址或设置IP段，同时进行多个服务的弱口令检查。3.程序自带端口扫描功能，可以不借助第三方端口扫描工具进行检查。4.支持自定义检查的口令，自定义端口

　　2超级弱口检测工具令的使用

　　这里以扫描ssh为列

　　准备工具tabby/超级弱口令检测工具

　　1打开超级弱口令然后输入目标ip

　　然后导入密码字典账户字典并开始扫描

　　如图所示