一，弱密码的原则

•  共享密码：

 设定共享密码时，请选择一个没有在其他任何地方使用的密码。如果你在另一个服务也使用相同的密码，攻击者可以同时获得两个云服务的访问。

本文转自IT培训机构——

• 密码有效时间：

 假定攻击者已经破解了密码，并可以访问云服务，那么每90天修改一次密码就非常关键。这种做法有助于防止攻击者进一步取得认证并窃取更多的敏感信息。

•  密码最短长度：

 密码长度应至少8位，虽然我们通常建议更长的密码。为了安全起见，造一个句子来作为你的密码。

• 密码强度：

 密码应该同时使用小写和大写字母，数字和特殊字符。这确保攻击者在暴力破解密码时必须通过更多数量的组合才能成功。

• 密码历史：

保存并使用密码的历史版本，这让系统能够比较当前密码与历史密码并确定有些密码是否会过于相似。如果过于相似的话，应该拒绝本次密码更改

       在服务器日常使用和运维中，需要对用户和管理员的账号密码进行检测，以避免弱密码引起的风险；以下通过使用腾讯云qcloud-checkpassword工具讲解如何对linux服务器进行弱密码检测。

       二  ，安装弱密码检测工具:

1.         下载弱密码检测工具压缩包到需要进行检测的服务器上。下载命令如下：

wget mirrors.tencentyun.com/install/sec/qcloud-checkpassword.zip

2.         解压，执行命令unzip qcloud-checkpassword.zip，工具由二进制程序checklocalpasswd，脚本check.sh以及弱密码库三部分组成。

     使用说明：

•  check.sh主要是封装了checklocalpasswd的默认配置，直接调用脚本即可开始处理，处理时间根据机器和密码库的大小不同而不同。默认启动5个进程同时检查，每个进程占用CPU最大20%。

•  checklocalpasswd此二进制文件是实际检测弱密码程序。

3.         进入到解压后的目录cd ；

4.         第二步，执行check.sh脚本，进行弱密码检测；

说明：若有任何弱密码信息，可以在report.txt中查看详细信息。