标签: password

是的，我可以启动虚拟机或远程设备并尝试输入密码……我知道……但是有没有一种工具或脚本可以模拟登录，足以确认或否认密码正确？

设想：

服务器服务帐户的密码被“忘记”...但我们认为我们知道它是什么。我想将凭据传递给某些东西，并让它以“正确的密码”或“不正确的密码”反击。

我什至想过一个驱动器映射脚本，其中传递了该用户帐户和密码，以查看它是否成功映射了驱动器，但在使其正常工作的逻辑中迷失了......类似于：

-Script 通过 msgbox 请求用户名 -script 通过 msgbox 请求密码 -script 尝试将驱动器映射到每个人都可以访问的公共共享 -script 如果成功则取消映射驱动器 -script 返回弹出 msgbox 说明“正确密码”或“不正确”密码”

任何帮助表示赞赏......你会认为这将是一种罕见的情况，不需要工具来支持它但是......好吧......

我在哪里可以禁用域的密码复杂性策略？

我已经登录到域控制器 (Windows Server 2008) 并在本地策略中找到了该选项，当然该选项已被锁定，无法进行任何更改。但是我在组策略管理器中找不到相同类型的策略。我必须扩展哪些节点才能找到它？

重置RDS主用户密码很简单，但是如何找到主用户的用户名呢？

我正在运行一个软件守护程序，它需要某些操作来输入密码来解锁某些功能，例如：

$ darkcoind masternode start <mypassphrase>

现在我在我的无头 debian 服务器上遇到了一些安全问题。

例如，每当我搜索我的 bash 历史记录时，Ctrl+R我都可以看到这个超强密码。现在我想我的服务器被入侵了，一些入侵者可以访问 shell，并且可以简单地Ctrl+R在历史记录中找到我的密码。

有没有办法输入密码而不显示在 bash 历史记录ps、/proc或其他任何地方？

更新 1：不向守护程序传递密码会引发错误。这是没有办法的。

更新 2：不要告诉我删除软件或其他有用的提示，例如挂掉开发人员。我知道这不是最佳实践示例，但该软件基于比特币，并且所有基于比特币的客户端都是某种 json rpc 服务器，它侦听这些命令，并且它的已知安全问题仍在讨论中（a、b、c） .

更新 3：守护进程已经启动并使用命令运行

$ darkcoind -daemon

做ps只显示启动命令。

$ ps aux | grep darkcoin
user     12337  0.0  0.0  10916  1084 pts/4    S+   09:19   0:00 grep darkcoin
user     21626  0.6  0.3 1849716 130292 ?      SLl  May02   6:48 darkcoind …

我正在尝试在 Ubuntu 服务器上使用 ssh 设置无密码登录，但我不断收到：

Agent admitted failure to sign using the key

并提示输入密码。

我生成了新的 rsa 密钥。在系统重新启动之前，它工作得很好。

所有链接都将我引向此错误，但没有任何效果。SSH 代理仍未运行。

如何解决？也许文件需要特定的权限？

在 cPanel 上，当我以 root 身份登录并键入“mysql”而没有主机名和密码时，它使我可以直接访问 mysql root 用户。

我想为我的一台非 cpanel 服务器执行此操作，其中 linux root 用户以与在 cPanel 上相同的方式获取密码较少的登录到 mysql root 用户。

这可能吗 ？

我正在使用一个 Powershell 脚本，该脚本将计划任务添加到我们域中的系统中。当我运行这个脚本时，它会提示我输入密码。有时我会粗指密码并启动该过程，从而锁定我的帐户。有没有办法验证我的凭据以确保我输入的内容将通过域进行验证？

我想找到一种查询域控制器的方法。我已经进行了一些 Google 搜索，我应该能够执行 WMI 查询并捕获错误。如果可能，我想避免这种验证方式。

有任何想法吗？提前致谢。

在管理员将敏感信息输入键盘（root 密码）的情况下，蓝牙键盘（现在 Mac 系统默认提供）会将这些密码置于危险之中的风险是什么？

另一种提问方式是：使用什么安全和加密协议（如果有）在键盘和主机系统之间建立蓝牙连接？

编辑：最终总结

所有的答案都很棒。我接受了链接到最直接适用的信息的内容，但我也鼓励您阅读 Nathan Adams 对安全权衡的回应和讨论。

去年，我们收到了来自托管服务提供商的一封电子邮件，内容涉及我们的一个帐户 - 它已被盗用并用于提供相当慷慨的垃圾邮件帮助。

显然，用户已将她的密码重置为她名字的变体（姓氏是你第一次可能猜到的。）她在一周内立即遭到黑客攻击 - 她的帐户发送了大量 270,000 封垃圾邮件 - 并且很快阻止。

到目前为止，没有什么特别不寻常的。那个会发生。您将密码更改为更安全的密码，教育用户并继续前进。

然而，有关的东西我更比我们账户的事实，一个已经失密。

我们的托管服务提供商为了提供帮助，实际上在以下电子邮件中向我们引用了密码：

我很惊讶。我们很快就要续约了——这感觉就像一个交易破坏者。

托管服务提供商能够找出帐户中使用的实际密码的情况有多普遍？

大多数托管服务提供商是否有一个帐户滥用部门比一线代表拥有更多的访问权限（并且可以在必要时查找密码），或者这些人只是没有遵循最佳实践来让他们的任何员工访问用户？密码？我认为密码应该被散列并且不可检索？这是否意味着他们以纯文本形式存储每个人的密码？

托管服务提供商能够以这种方式发现帐户密码是否合法？这对我来说似乎太不可思议了。

在我们考虑更换提供商之前，我想保证这不是常见的做法，而且我们的下一个托管服务提供商也不太可能以相同的方式进行设置。

期待听到您对此的看法。

鉴于最近发生了“黑客”从网站管理员那里学习和重试密码的事件，关于密码的最佳实践，我们可以向所有人提出什么建议？

• 在站点之间使用唯一的密码（即永远不要重复使用密码）
• 应避免在字典中找到的词
• 考虑使用非英语语言中的单词或短语
• 使用密码短语并使用每个单词的第一个字母
• l33tifying 没有多大帮助

请多多推荐！