密码审计考试题库及答案.docxVIP

第PAGE页共NUMPAGES页

2026年密码审计考试题库及答案

一、单选题（每题2分，共20题）

1.在某公司的密码策略中，要求用户密码必须包含大写字母、小写字母、数字和特殊字符，且最小长度为12位。这种密码策略属于哪种类型？

A.复杂性策略

B.长度策略

C.组合策略

D.密码历史策略

2.某金融机构发现其员工使用生日、姓名等常见个人信息作为密码。这种风险属于哪种密码弱点？

A.密码重用

B.易猜测性

C.社会工程学攻击

D.密码熵低

3.在密码审计中，使用“彩虹表”的主要目的是什么？

A.加密密码

B.破解哈希密码

C.生成随机密码

D.验证密码强度

4.某公司采用SHA-256算法存储用户密码哈希值。这种哈希算法的主要特点是？

A.可逆

B.无法抵抗暴力破解

C.抗碰撞性强

D.计算速度慢

5.在密码审计工具中，JohntheRipper和Hashcat的主要区别是什么？

A.John支持更多哈希类型，Hashcat更适用于GPU加速

B.Hashcat支持更多哈希类型，John更适用于暴力破解

C.两者功能完全相同

D.John只适用于Windows系统，Hashcat只适用于Linux系统

6.某公司发现部分员工使用相同密码登录多个系统。这种风险属于？

A.密码熵低

B.密码重用

C.密码复杂度不足

D.密码历史策略缺失

7.在密码审计中，密码嗅探的主要目的是什么？

A.监控网络流量中的密码明文传输

B.猜测用户密码

C.生成随机密码

D.加密密码传输

8.某公司采用双因素认证（2FA）提高安全性。2FA的典型实现方式包括？

A.密码+动态口令

B.密码+生物识别

C.密码+安全问题

D.密码+物理令牌

9.在密码审计中，字典攻击的主要特点是？

A.使用大量常见密码尝试破解

B.基于密码熵计算破解难度

C.使用GPU加速破解

D.猜测用户个人信息作为密码

10.某公司发现部分系统使用MD5算法存储密码哈希值。这种哈希算法的主要风险是什么？

A.计算速度快

B.抗碰撞性差

C.支持多核并行计算

D.防止暴力破解

二、多选题（每题3分，共10题）

1.以下哪些属于密码审计的关键步骤？

A.收集密码策略配置

B.评估密码强度

C.检查密码历史策略

D.测试密码传输加密

2.在密码审计中，常见的密码弱点包括？

A.密码重用

B.易猜测性（如生日、姓名）

C.密码复杂度不足

D.社会工程学攻击诱导

3.以下哪些哈希算法具有较好的抗碰撞性？

A.SHA-256

B.MD5

C.SHA-1

D.bcrypt

4.在密码审计中，双因素认证（2FA）的优势包括？

A.提高安全性

B.防止密码重用

C.降低暴力破解风险

D.减少密码历史策略需求

5.以下哪些工具可用于密码审计？

A.JohntheRipper

B.Hashcat

C.BurpSuite

D.Nessus

6.在密码审计中，密码嗅探的主要风险包括？

A.密码明文传输

B.中间人攻击

C.密码泄露

D.垃圾邮件攻击

7.以下哪些属于密码策略的最佳实践？

A.要求密码定期更换

B.禁止使用常见密码

C.使用哈希加盐存储密码

D.允许使用密码+安全问题

8.在密码审计中，暴力破解的主要特点是？

A.尝试所有可能的密码组合

B.使用字典攻击

C.基于密码熵计算破解难度

D.利用GPU加速破解

9.以下哪些属于密码历史策略的常见要求？

A.禁止使用最近5次的历史密码

B.要求密码定期更换

C.禁止使用相同密码多次

D.限制密码复杂度

10.在密码审计中，社会工程学攻击的主要手段包括？

A.诱导用户透露密码

B.网络钓鱼

C.情感操控

D.密码嗅探

三、判断题（每题2分，共10题）

1.密码熵越高，密码越容易被破解。（正确/错误）

2.SHA-256算法可以用于加密密码。（正确/错误）

3.双因素认证（2FA）可以完全防止密码泄露。（正确/错误）

4.密码历史策略可以防止密码重用。（正确/错误）

5.MD5算法已经被证明存在碰撞漏洞。（正确/错误）

6.密码嗅探只能捕获明文密码。（正确/错误）

7.暴力破解可以破解任何密码。（正确/错误）

8.密码复杂度越高，密码越安全。（正确/错误）

9.字典攻击比暴力破解更高效。（正确/错误）

10.密码策略可以完全替代安全意识培训。（正确/错误）

四、简答题（每题5分，共5题）

1.简述密码审计的主要目的和步骤。

2.解释什么是哈希碰撞，并说明其对密码安全的影响。

3.列举三种常见的密码弱点，并