2026年网络安全工程师考试练习题-密码破解与防护技能考核题库(含标准答案)_第1页
2026年网络安全工程师考试练习题-密码破解与防护技能考核题库(含标准答案)_第2页
2026年网络安全工程师考试练习题-密码破解与防护技能考核题库(含标准答案)_第3页
2026年网络安全工程师考试练习题-密码破解与防护技能考核题库(含标准答案)_第4页
2026年网络安全工程师考试练习题-密码破解与防护技能考核题库(含标准答案)_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2026年网络安全工程师考试练习题——密码破解与防护技能考核题库(含标准答案)适用场景:2026网络安全工程师技能考核、运维安全认证、渗透测试入门考试、企业安全岗笔试面试考核重点:主流密码破解方式、哈希原理、彩虹表攻击、撞库攻击、弱密码风险、密码安全防护策略、企业密码加固方案、账号安全应急处置题型说明:单选题、判断题、简答题、实操应用题,全覆盖考试必考考点,答案精准、解析通俗,可直接背诵刷题一、单项选择题(25题,每题2分,共50分)彩虹表攻击主要针对哪种密码数据进行破解()

A、明文密码B、哈希加密密码C、对称加密密码D、数字签名

答案:B

解析:彩虹表是预计算的哈希值对照表,专门用于快速破解MD5、SHA等单向哈希加密的密码,大幅降低哈希密码破解耗时。攻击者遍历所有字符组合尝试破解密码的方式是()

A、字典攻击B、暴力破解C、社会工程学攻击D、撞库攻击

答案:B

解析:暴力破解无预设词库,穷尽所有数字、字母、符号组合,适合短密码破解,耗时随密码长度指数级增长。利用常用弱密码词库批量尝试登录的攻击方式是()

A、暴力破解B、字典攻击C、中间人攻击D、DNS劫持

答案:B

解析:字典攻击基于弱密码词典(123456、admin、手机号等)尝试,效率远高于纯暴力破解,是网站、后台最常见的密码攻击方式。能够有效防御彩虹表攻击的核心技术是()

A、增加密码长度B、密码加盐(Salt)C、定期改密码D、设置复杂密码

答案:B

解析:密码加盐后,相同明文密码会生成不同哈希值,破坏彩虹表预匹配规则,从根源抵御彩虹表破解。哈希碰撞是指()

A、加密算法报错失效B、两个不同明文生成相同哈希值

C、密码哈希值过长D、密码加密失败

答案:B

解析:哈希函数理论存在碰撞概率,不同输入内容产出一致哈希输出,可被攻击者利用伪造密码绕过验证。用户多平台使用相同账号密码,最易引发的攻击是()

A、DDOS攻击B、撞库攻击C、端口扫描D、SQL注入

答案:B

解析:攻击者窃取某平台账号密码数据库后,批量在其他平台尝试登录,利用用户密码复用习惯窃取账号权限。以下属于弱密码的是()

A、Sd@2026secB、123456abcC、Sec#789!lwD、Net@2026qx

答案:B

解析:顺序数字+简单字母组合属于典型弱密码,极易被字典攻击快速破解。Windows系统存储账号密码哈希值的数据库是()

A、MySQLB、SAM数据库C、RedisD、Oracle

答案:B

解析:Windows通过SAM数据库本地存储用户账号哈希信息,是内网密码抓取、破解的重点目标。以下哪种加密不属于单向哈希加密()

A、MD5B、SHA256C、AESD、SHA512

答案:C

解析:AES是双向对称加密算法,可加密解密;MD5、SHA系列为单向哈希算法,不可逆、仅校验比对。混合密码攻击的特点是()

A、纯手动尝试密码B、字典攻击+变形暴力组合破解

C、仅破解数字密码D、仅破解字母密码

答案:B

解析:混合攻击在字典弱密码基础上,添加数字、符号、大小写变形组合,适配大部分用户常规密码设置习惯。以下最安全的密码策略是()

A、8位纯数字B、10位纯字母C、12位字母+数字+特殊符号+大小写D、固定密码长期使用

答案:C

解析:密码复杂度越高、长度越长,破解难度指数级提升,是基础防护核心策略。用于拦截暴力破解、限制登录频次的安全设备/功能是()

A、流量统计B、登录失败锁定策略C、日志记录D、数据备份

答案:B

解析:设置连续登录失败锁定账号、短时限流,可直接阻断批量爆破攻击行为。攻击者通过诱导用户输入密码获取凭证的方式属于()

A、暴力破解B、钓鱼攻击C、彩虹表攻击D、哈希破解

答案:B

解析:钓鱼属于社会工程学攻击,通过伪造页面、链接诱导用户主动泄露账号密码。WPA3相比WPA2,主要优化的密码安全能力是()

A、提升网速B、抵御离线字典暴力破解C、扩大覆盖范围D、兼容更多设备

答案:B

解析:WPA3修复WPA2离线爆破漏洞,强化无线密码防护,杜绝无线密码批量破解风险。以下哪种行为会极大降低密码安全性()

A、密码定期更换B、密码复用、多平台通用

C、开启二次验证D、密码加盐存储

答案:B

解析:密码通用是撞库攻击高发诱因,单一平台泄露会导致全平台账号沦陷。防止密码哈希值泄露后被破解的最佳手段是()

A、缩短密码长度B、加盐迭代哈希C、取消加密D、使用简单哈希算法

答案:B

解析:多次加盐迭代哈希,大幅提升彩虹表匹配和暴力破解的算力成本,有效防护哈希泄露风险。IDS入侵检测系统针对密码爆破的作用是()

A、直接删除攻击IPB、监测高频登录异常、告警拦截爆破行为

C、修改用户密码D、修复系统漏洞

答案:B

解析:IDS可实时识别短时间高频登录、异地批量登录等爆破特征,及时告警并联动防护。不属于密码破解工具的是()

A、HydraB、JohntheRipperC、HashcatD、Notepad

答案:D

解析:Hydra、John、Hashcat均为专业密码爆破、哈希破解工具,记事本为普通文本工具。账号二次验证(2FA)的核心作用是()

A、美化登录界面B、密码泄露后仍可阻止非法登录

C、加快登录速度D、简化密码设置

答案:B

解析:即使攻击者破解、窃取明文密码,无二次验证码仍无法登录,是最有效的账号兜底防护手段。密码有效期设置的主要目的是()

A、强制用户记忆密码B、降低密码长期泄露、长期被爆破的风险

C、统一密码格式D、方便管理

答案:B

解析:定期更换密码,可避免哈希值长期被抓取、长期被暴力破解,缩小攻击窗口期。以下哪种哈希算法安全性最高、抗破解能力最强()

A、MD5B、SHA1C、SHA256D、无区别

答案:C

解析:MD5、SHA1已被证实存在严重漏洞、极易碰撞破解,SHA256/SHA512为安全合规的商用加密算法。内网渗透中,抓取哈希密码后进行离线破解的核心优势是()

A、不触发登录日志、无登录频次限制B、速度更慢

C、无需算力D、无需工具

答案:A

解析:离线破解无需实时登录系统,不会触发账号锁定和安全告警,隐蔽性极强。密码复杂度策略不包含以下哪项()

A、长度限制B、字符类型限制C、连续重复字符限制D、密码记忆难度限制

答案:D

解析:企业密码策略管控长度、复杂度、重复字符、历史密码复用,不限制记忆难度。防范社会工程学密码窃取的核心是()

A、设置简单密码B、不泄露密码、验证码、不点击陌生链接

C、关闭防火墙D、取消登录验证

答案:B

解析:多数密码泄露源于社工欺骗,而非技术破解,提升人员安全意识是关键防护手段。企业禁止使用历史密码的目的是()

A、统一密码样式B、防止密码循环复用、降低破解风险

C、增加运维工作量D、无实际作用

答案:B二、判断题(15题,每题2分,共30分)MD5加密可逆,可以通过哈希值还原明文密码。(×)

解析:MD5属于单向哈希算法,理论不可逆,仅能通过彩虹表、暴力碰撞比对破解。密码加盐后,可有效防御彩虹表攻击。(√)暴力破解的密码长度越长,破解所需算力和时间呈指数级增加。(√)用户在多个网站使用同一密码,容易遭受撞库攻击。(√)开启账号登录失败锁定策略,可以有效抵御字典爆破攻击。(√)WPA2无线协议不存在离线密码破解漏洞。(×)

解析:WPA2存在离线抓包爆破漏洞,WPA3针对性修复该风险。二次验证(2FA)可以在密码泄露后保障账号安全。(√)简单弱密码即使长度较长,依然存在极高破解风险。(√)哈希碰撞可以被攻击者利用,实现密码绕过验证登录。(√)所有AI生成的复杂密码都绝对安全,无需定期更换。(×)

解析:无绝对安全的密码,长期不更换仍存在泄露、爆破风险。离线密码破解不会触发系统登录告警和账号锁定。(√)社会工程学攻击是当前密码泄露的主要方式之一。(√)定期备份数据可以直接防御密码破解攻击。(×)

解析:数据备份用于灾后恢复,无法主动抵御密码破解攻击。Hashcat、Hydra是主流的密码破解测试工具。(√)企业密码可以设置为手机号、生日、姓名等个人信息。(×)

解析:个人信息类密码极易被社工收集、字典匹配破解,属于高危弱密码。三、简答题(3题,每题5分,共15分,必考原题)1、简述字典攻击、暴力破解、彩虹表攻击的区别?标准答案:

1.字典攻击:基于预设弱密码词库批量尝试,效率高、针对性强,主要破解常规弱密码;

2.暴力破解:穷尽所有字符组合,无词库限制,准确率高,但耗时极长,仅适合短密码;

3.彩虹表攻击:依托预计算哈希对照表,专门快速破解无盐哈希密码,针对哈希泄露场景效果显著。2、简述密码加盐(Salt)的防护原理与作用?标准答案:

密码加盐是在用户明文密码中拼接随机字符串后再进行哈希加密。

核心作用:①相同明文密码生成不同哈希值,彻底失效彩虹表攻击;②增加哈希破解难度,抵御离线暴力破解;③避免批量账号哈希值被统一碰撞破解,大幅提升账号密码安全性。3、简述企业密码安全全套防护策略?标准答案:

1.复杂度管控:强制12位以上,包含大小写、数字、特殊符号,禁止弱密码、个人信息密码;

2.技术防护:密码加盐迭代哈希存储、开启登录失败锁定、IP限流、IDS爆破告警、部署WAF防护;

3.账号防护:开启二次验证、禁止多平台密码复用、定期强制更换密码、禁止历史密码复用;

4.安全管控:定期密码安全巡检、员工安全培训、拦截钓鱼链接、定期更新加密算法。四、实操应用题(1题,5分,技能考核压轴题)场景:企业后台系统频繁出现高频异地登录尝试,疑似密码字典爆破攻击,请写出完整处置流程。标准答案:

1.应急处置:立即封禁攻击IP、临时锁定疑似被爆破高危账号,阻断攻击行为;

2.日志排查:核查系统登录日志,统计爆破频次、攻击IP、尝试密码特征,定位攻击来源;

3.风险加固:开启登录失败锁定策略、调整密码复杂度、开启二次验证、更新密码加盐规则;

4.设备防护:配置WAF拦截高频登录请求、开启IDS爆破告警、限制异地陌生设备登录;

5.复盘整改:排查弱密码账号统一整改,开展员工安全培训,完善账号密码安全管理制度。五、2026年密码安全考核必背核心总结1、三大破解核心:字典攻击(弱密码)、暴力破解(全

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论