在企业中进行密码强度测试的最好方法是从道德黑客的角度出发。第一步——也是最重要的一步——就是从上级管理层获得允许。如果你是一位咨询师，客户的书面协议尤其重要。还有，测试密码强度的时候要遵守金科玉律，并通过保护和为密码被公开的资料保密尊重他人的隐私。这不仅是道德问题，也可以保证你不会丢了工作或者陷入法律纠纷。
 
　　下一步是军丁如何进行测试。你可以从外部进行——真正的黑客方式——或者作为内部网络的认证用户和管理员。如果你想要简化并正确的进入，你可以简单地在域名控制器或者想要测试的特定电脑上运行密码破解程序。但是，这只是一半的工作，因为周围有大量的其他密码。因此，我推荐在内部外部都进行测试。

　　外部的测试可以显示事情在外部表现的状况。在这种类型的测试中，可以尝试从外部破解下列类型的密码：

• IIS/Web应用
• SQL Server
• 电子邮件（SMTP、POP3、OWA等）
• 终端服务
• 通过RDP的远程桌面链接
• VNC和其他第三方远程桌面访问软件

　　作为定期用户和管理员的内部测试同样有价值。以用户的身份和最小的网络权限运行测试可以表明一半的员工、定约方和其他内部用户可以在网络上看到那些内容。最后，以等同管理员的权限登录的后续破解测试可以发现之前没有注意的或者不能访问到的其它不足之处。在这种类型的测试中，可以尝试破解上面提到的密码（因为可能从防火墙内部网络的不同角度去看），而且，还可以测试一下类型的密码：

• 本地帐户
• 域帐户
• 服务帐户
• Windows共享
• NT缓存秘密（NT cached secret）
• 受保护的存储（例如，缓存的IE、Outlook等的密码）
• PWL文件
• 文件保护密码（例如，受保护的.doc、.xls、.pdf、.zip等文件）
• 在本地或者网络磁盘中明文文件存储的密码

　　就像你所看到的，除了Windows密码还有很多种密码会给网络带来信息安全风险。请注意，有些测试要求登录到本地的电脑上。这对于十几台这样的电脑有点儿不现实，但是可以在服务器和关键工作站上以最小的方式运行测试。