检测项目

1.密码长度验证：强制要求最小长度≥8位，推荐长度≥12位

2.字符类型组合：必须包含大小写字母+数字+特殊符号（@#$%^&*）三类以上

3.常见弱口令库比对：包含Top10000弱口令字典（如RockYou-2021版）

4.历史密码复用检测：限制最近5次密码不可重复使用

5.暴力破解阈值测试：连续错误尝试≥5次触发账户锁定机制

检测范围

1.企业级IT系统管理员账户（AD域控/OA系统/ERP系统）

2.物联网设备默认凭证（路由器/摄像头/智能终端）

3.金融支付系统用户账户（网银/移动支付/清算系统）

4.云服务平台密钥对（AWSAccessKey/AzureServicePrincipal）

5.工业控制系统HMI人机接口（SCADA/DCS/PLC）

检测方法

1.ISO/IEC27001:2022AnnexA.9.4.1用户密码管理规范

2.NISTSP800-63B数字身份认证指南第5.1.1节

3.GB/T22239-2019网络安全等级保护基本要求第8.1.4条

4.PCIDSSv4.0Requirement8.3.6支付卡行业数据安全标准

5.ASTMF3060-17工业控制系统安全测试指南

检测设备

1.FortinetFortiAnalyzer-4000F：网络流量分析与异常登录行为监测

2.TenableNessusProfessional：CVE-2023-21746等弱口令漏洞扫描

3.Hashcatv6.2.6：基于GPU的分布式密码爆破工具（支持MD5/SHA256）

4.BurpSuiteEnterpriseEdition：Web应用登录接口自动化渗透测试平台

5.JohntheRipperjumbo版：多协议弱口令离线破解（SSH/RDP/MySQL）

6.CellebriteUFEDPremium：移动端APK逆向分析与硬编码密钥提取

7.MetasploitFramework：利用auxiliary/scanner/http/owa_login模块测试Exchange弱口令

8.Wireshark4.0.8：802.1X认证协议抓包与EAP-MD5脆弱性分析

9.OpenVAS22.4：自动化生成CVSS3.1评分≥7.0的弱口令风险报告

10.KaliLinux2023.4：集成Hydra9.5网络服务暴力破解工具包

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

　　以上是与弱口令检测相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。