(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210906311.9 (22)申请日 2022.07.29 (71)申请人 四川启睿 克科技有限公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府四街 199号1栋33层 (72)发明人 张荣芸　 (74)专利代理 机构 四川省成 都市天策商标专利 事务所(有限合 伙) 51213 专利代理师 胡慧东 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 一种用于渗透测试的密码字典管理方法 (57)摘要 本发明公开了一种用于渗透测试的密码字 典管理方法， 涉及密码数据技术领域， 包括以下 步骤： S1:准备原始数据： 收集原始密码字典 并整 理成统一文本格式数据； S2:数据处理入库： 依次 读取S1中收集的密码数据， 分析每一个密码的特 征， 给密码做好标记并存入数据库； 记录每个密 码出现的次数， 标记为频次， 并存入数据库； S3： 按需输出密码： 根据被测系统对密码的要求从数 据库中筛选出符合要求的密码； S4： 择优输出密 码： 通过密码出现频次倒序排序密码， 在需要精 简时只取排序靠前的密码使用该管理方法生成 的密码字典可减少大量无效密码， 密码数量可 控， 并减少对低频密码的使用， 可大大提高爆破 效率与成功率。 权利要求书1页 说明书3页 附图1页 CN 115276983 A 2022.11.01 CN 115276983 A 1.一种用于渗透测试的密码字典管理方法， 其特 征在于， 包括以下步骤： S1:准备原 始数据： 收集原 始密码字典并整理成统一文本格式数据； S2:数据处理入库： 依次读取S1中收集的密码数据， 分析每一个密码的特征， 给密码做 好标记并存 入数据库； 记录每 个密码出现的次数， 标记为频次， 并存 入数据库； S3： 按需输出密码： 根据被测系统对密码的要求从数据库中筛 选出符合要求的密码； S4： 择优输出密码： 通过密码出现频次倒序排序密码， 在需要精简时只取排序靠前的密 码。 2.根据权利要求1所述的用于渗透测试的密码字典管理方法， 其特征在于， 所述步骤S1 具体为： 在搜索引擎或专业论坛上查找密码字典的资源， 将所有资源整理成统一的文本格 式数据。 3.根据权利要求1所述的用于渗透测试的密码字典管理方法， 其特征在于， 所述步骤S2 具体为： 依次读取S1中 收集的密码数据， 若密码尚未存储则分析其特征存入数据库， 并设置 其出现的频次为1， 若密码在数据库中已存在， 则设置其出现的频次加1。 4.根据权利要求3所述的用于渗透测试的密码字典管理方法， 其特征在于， 所述述密码 特征包括密码的长度， 密码是否包 含字母、 数字、 特殊字符。 5.根据权利要求1所述的用于渗透测试的密码字典管理方法， 其特征在于， 通过被测系 统要求筛 选的密码不会有无效密码。 6.根据权利要求1所述的用于渗透测试的密码字典管理方法， 其特征在于， 所述步骤S4 具体为若步骤S3中输出的密码数量过大， 或被测系统对访问频率有限制， 则需要精简密码 字典， 此时可以根据输出密码收集时出现的频次截取出更为常见 的密码， 最后输出按频次 大小倒序排序的密码序列。权　利　要　求　书 1/1 页 2 CN 115276983 A 2一种用于渗透测试的密码字典管理 方法 技术领域 [0001]本发明涉及密码数据技术领域， 具体涉及一种用于渗透测试的密码字典管理方 法。 背景技术 [0002]互联网发展的同时伴随着各种安全事件， 有很多密码数据集被泄露， 被泄露的用 户密码也反映出用户设置密码的一些信息。 有了这些数据集， 密码攻击、 密码生成、 用户密 码习惯等方面的研究层出不穷， 其中密码生成已成为提高社会工程学中身份验证效率的新 兴问题， 并且在检查 安全漏洞中起着重要作用。 [0003]对需要登录而没有账号或账号权限不足的系统进行渗透测试， 暴力破解用户名密 码是必要的操作， 这个步骤也被称作爆破。 密码字典是将人们习惯使用的密码收集在一起 的集合， 有一个好的字典可以加大爆破成功的概率。 在互联网上能找到不少密码字典， 但 其 包含的密码数量与质量 参差不齐， 还 存在很大的重复性。 [0004]随着业内对网络安全的重视， 很多系统在注册时都会要求密码达到一定强度， 而 被用户使用最广泛的密码往往是最简单 的， 这些密码达不到系统要求的安全强度， 那么也 就是无效的。 因此我们每次测试应该针对被测系统对密码的强度要求不同来调整自己使用 的密码字典。 发明内容 [0005]本发明的目的在于提供一种用于渗透测试的密码字典管理方法， 通过不同的维度 对密码进行标记， 然后根据被测试系统的对密码强度的要求， 提取符合标记的密码组成用 于爆破的密码字典； 还可根据收集密码时密码出现的频次， 优先选择频次高的密码进行尝 试。 使用该管理方法生成的密码字典可减少大量无效密码， 密码数量可控， 并减少对低频密 码的使用， 可 大大提高爆破效率与成功率。 [0006]为了达到上述技术效果， 本发明提供了如下技 术方案： [0007]一种用于渗透测试的密码字典管理方法， 包括以下步骤： [0008]S1:准备原 始数据： 收集原 始密码字典并整理成统一文本格式数据； [0009]S2:数据处理入库： 依次读取S1中收集 的密码数据， 分析每一个密码的特征， 给密 码做好标记并存 入数据库； 记录每 个密码出现的次数， 标记为频次， 并存 入数据库； [0010]S3： 按需输出密码： 根据被测系统对密码的要求从数据库中筛选出符合要求的密 码； [0011]S4： 择优输出密码： 通过密码出现频次倒序排序密码， 在需要精简时只取排序靠前 的密码。 [0012]进一步的技术方案为， 所述步骤S1具体为： 在搜索引擎或专业论坛上查找密码字 典的资源， 将所有资源整理成统一的文本格式数据。 [0013]进一步的技术方案为， 所述步骤S2包括以下步骤： 依次读取S1中收集的密码数据，说　明　书 1/3 页 3 CN 115276983 A 3