CN110084034A

CN110084034A - 一种基于弱口令检测的密码设置方法、存储介质及电子设备

Info

Publication number: CN110084034A
Application number: CN201910370792.4A
Authority: CN
Inventors: 陶安洪; 李英; 文立乾
Original assignee: Chongqing Tianpeng Network Co Ltd
Current assignee: Chongqing Tianpeng Network Co Ltd
Priority date: 2019-05-06
Filing date: 2019-05-06
Publication date: 2019-08-02
Anticipated expiration: 2039-05-06
Also published as: CN110084034B

Abstract

本发明提供了一种基于弱口令检测的密码设置方法，在互联网上收集已被公开的用户密码数据；对收集到的密码进行分析，并分类为通用密码和密码规则；将通用密码和密码规则分别存储到密码规则库中，数据库用于弱口令检测引擎；从员工信息库中将所有员工的用户名导入到密码规则库中；开发弱口令检测引擎，用于用户名、密码验证碰撞；在用户登录***中新增一个用户密码验证接口；弱口令检测引擎请求用户密码验证接口进行密码验证碰撞；验证用户密码成功后，自动设置用户密码，并短信通知用户。解决员工在使用弱密码时不能快速发现和设置，同时不能有效的督促修复的技术难题；能快速发现用户使用的弱密码，能快速有效的修复弱密码，不需要督促修复。

Description

一种基于弱口令检测的密码设置方法、存储介质及电子设备

技术领域

本发明涉及安全领域，具体而言，涉及一种基于弱口令检测的密码设置方法。

背景技术

弱口令定义为通常认为容易被别人猜测到或被破解工具破解的口令。弱口令给企业安全带来的危害是巨大的，因为攻击者的攻击成本低、收益高。弱口令检测依赖用于检测的密码字典文件，字典的好坏决定了检测出弱口令效率。现有的弱口令检测工具，通过内置的密码字典，对目标***进行弱口令检测，由于内置密码字典固定，并且没有结合待检测的目标网站进行优化调整，与目标网站不相适应，对目标网站基于弱口令检测的密码设置效率较低。

现有技术中企业员工为了方便记忆，喜欢将企业***的密码设置成简单的数字和字母(如：123456，123abc等)，这种密码由于太简单，所以很容易被恶意人员猜测到，可能导致公司核心数据被窃取，资金被盗用，服务器被入侵等安全问题。目前解决员工弱口令的方案为定期修复改密码，设置密码时要求密码强度。这种方法并不能完全解决弱口令的问题，比如使用姓名+生日的方式就可以轻松绕过，而员工在设置密码时，也经常使用这种规则设置密码，这种情况是不能快速被发现的，同时缺乏督促修复的能力。

因此，在长期的研发当中，发明人提出了一种基于弱口令检测的密码设置方法，以解决上述技术问题之一。

发明内容

本发明的目的在于提供一种基于弱口令检测的密码设置方法，能够解决上述提到的至少一个技术问题。具体方案如下：

一种基于弱口令检测的密码设置方法，包括：

S1、收集已公开的用户密码数据；

S2、对所述用户密码数据进行分析，分类为通用密码和密码规则；

S3、将通用密码和密码规则分别存储到密码规则库中，此数据库用于弱口令检测引擎；

S4、从员工信息库中将所有员工的用户名导入到密码规则库中；

S5、生成弱口令检测引擎，用于用户名、密码验证碰撞；

S6、新增用户密码验证接口；

S7、基于用户密码验证接口，所述弱口令检测引擎进行密码验证碰撞；

S8、验证用户密码成功后，自动设置用户密码，并短信通知用户。

进一步地，所述的步骤S1中，在互联网上通过搜索引擎收集被公开的密码信息。

进一步地，所述的步骤S2中将收集到的用户密码数据进行整理分类并存储到弱密码库中，把密码数据至少分为两类，分别为通用密码和规则密码。

进一步地，所述的通用密码组成单一，不存在个人相关信息。

进一步地，所述的规则密码是由一定顺序组成的密码，其中含有用户信息或不含用户信息。

进一步地，所述的S4步骤中将员工登录时的用户名导入到弱密码数据库中，所述的弱密码库包括用户名、通用密码和规则密码。

进一步地，所述的S5步骤中的弱口令检测引擎由多线程碰撞模块和密码生成模块组成，所述的多线程碰撞模块将用户名、密码通过HTTP请求发送给密码验证接口，所述的密码生成模块用于动态生成规则密码。

进一步地，所述的密码验证接口接收用户名、密码，验证用户名、密码是否在数据库中存在，如果存在，说明员工的密码存在弱口令，需要立即设置密码，重置的密码由程序自动生成，是一个16位含有数字大小写字母的随机字符，重置完毕以后将通过短信的方式将新密码发送给用户。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上所述的方法。

本发明实施例还提供一种电子设备，包括：一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述的方法。

本发明实施例的上述方案与现有技术相比，至少具有以下有益效果：

本发明提供的基于弱口令检测的密码设置方法，解决了企业员工在使用弱密码时不能快速发现和重置，同时不能有效的督促修复的技术难题；能快速发现用户使用的弱密码，能快速有效的修复弱密码，不需要督促修复。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示出了根据本发明实施例提供的基于弱口令检测的密码设置方法的流程框架图；

图2示出了根据本发明的实施例的电子设备连接结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……，但这些……不应限于这些术语。这些术语仅用来将……区分开。例如，在不脱离本发明实施例范围的情况下，第一……也可以被称为第二……，类似地，第二……也可以被称为第一……。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。

下面结合附图详细说明本发明的可选实施例。

实施例1

如图1所示，本发明实施例1提供的一种基于弱口令检测的密码设置方法，包括：

S1、收集已公开的用户密码数据；

S5、生成弱口令检测引擎，用于用户名、密码验证碰撞；

S6、新增用户密码验证接口；

实施例2

本发明实施例提供的一种首先需要在互联网上通过搜索引擎(如：百度，谷歌，必应等)收集被公开的密码信息(如：弱口令Top1000、公开的用户密码数据等)

然后将收集到的密码数据进行整理分类并存储到弱密码库中，主要把密码数据分为两类，分别为通用密码，和规则密码。通用密码是一种组成单一，密码中不存在个人相关信息(如：123456，888888，aqwe123等等)。规则密码是由一定顺序组成的密码，其中可能含有用户信息(如：qq、电话、姓名拼音等)，比如zhangsan888的密码，就是典型的规则密码，我们可以将其处理为name888。

再将员工登录时的用户名导入到弱密码数据库中，这样弱密码库中就有三类信息，分别为，用户名信息、通用密码信息，规则密码信息

接下来需要开发弱口令检测引擎，弱口令检测引擎由多线程碰撞模块和密码生成模块组成，多线程碰撞模块主要负责发将用户名、密码通过HTTP请求，发生给密码验证接口。密码生成模块，主要负责规则密码的动态生成，如规则为name888，现在要碰撞的用户名为lisi，生成的密码就为lisi888。

密码验证接口主要负责，接收用户名、密码，然后验证用户名、密码是否在数据库中存在，如果存在，说明员工的密码存在弱口令，需要立即重置密码，重置的密码由程序自动生成，是一个16位含有数字大小写字母的随机字符。重置完毕以后将通过短信的方式将新密码发送给用户，并要求用户立即更改密码。

下面参考图2，其示出了适于用来实现本公开实施例的电子设备400的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图2示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图2所示，电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401，其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中，还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

通常，以下装置可以连接至I/O接口405：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407；包括例如磁带、硬盘等的存储装置408；以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图2示出了具有各种装置的电子设备400，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置409从网络上被下载和安装，或者从存储装置408被安装，或者从ROM 402被安装。在该计算机程序被处理装置401执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取至少两个网际协议地址；向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求，其中，所述节点评价设备从所述至少两个网际协议地址中，选取网际协议地址并返回；接收所述节点评价设备返回的网际协议地址；其中，所获取的网际协议地址指示内容分发网络中的边缘节点。

或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：接收包括至少两个网际协议地址的节点评价请求；从所述至少两个网际协议地址中，选取网际协议地址；返回选取出的网际协议地址；其中，接收到的网际协议地址指示内容分发网络中的边缘节点。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。

Claims

1.一种基于弱口令检测的密码设置方法，其特征在于，包括：

S1、收集已公开的用户密码数据；

S5、生成弱口令检测引擎，用于用户名、密码验证碰撞；

S6、新增用户密码验证接口；

2.根据权利要求1所述的基于弱口令检测的密码设置方法，其特征在于，所述的步骤S1中，在互联网上通过搜索引擎收集被公开的密码信息。

3.根据权利要求1所述的基于弱口令检测的密码设置方法，其特征在于，所述的步骤S2中，将收集到的用户密码数据进行整理分类并存储到弱密码库中，把密码数据至少分为两类，分别为通用密码和规则密码。

4.根据权利要求3所述的基于弱口令检测的密码设置方法，其特征在于，所述通用密码组成单一，不存在个人相关信息。

5.根据权利要求3所述的基于弱口令检测的密码设置方法，其特征在于，所述规则密码是由一定顺序组成的密码，其中含有用户信息或不含用户信息。

6.根据权利要求1所述的基于弱口令检测的密码设置方法，其特征在于，所述的S4步骤中将员工登录时的用户名导入到弱密码数据库中，所述的弱密码库包括用户名、通用密码和规则密码。

7.根据权利要求1中所述的基于弱口令检测的密码设置方法，其特征在于，所述的S5步骤中的弱口令检测引擎由多线程碰撞模块和密码生成模块组成，所述的多线程碰撞模块将用户名、密码通过HTTP请求发送给密码验证接口，所述的密码生成模块用于动态生成规则密码。

8.根据权利要求7所述的基于弱口令检测的密码设置方法，其特征在于，所述的密码验证接口接收用户名、密码，验证用户名、密码是否在数据库中存在，如果存在，说明员工的密码存在弱口令，需要立即设置密码，重置的密码由程序自动生成，是一个16位含有数字大小写字母的随机字符，重置完毕以后将通过短信的方式将新密码发送给用户。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1至8中任一项所述的方法。

10.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至8中任一项所述的方法。