我已经通过Google找到了一些内容,但我很想听听您从哪里获得字典。
#1 楼
Ron Bowes收集的不错的清单,您可以在这里找到:http://www.skullsecurity.org/wiki/index.php/Passwords。其他列表来自InsidePro:https://web.archive.org/web/20120207113205/http://www.insidepro.com/eng/download.shtml。
#2 楼
未添加到列表中的一个重要列表是crackstation单词列表该列表包含我可以在列表中找到的每个单词列表,字典和密码数据库
泄漏。互联网(我花了很多时间
看)。它还包含Wikipedia数据库中的每个单词(页面文章,在2010年被检索,所有语言),以及古腾堡计划中的许多
书。它还包括几年前在地下出售的一些
低调数据库漏洞的密码。
最好的是,它是免费的,尽管您可以(应该!)捐款!
评论
感谢D3C4FF,
4GB +单词列表?谢谢您的分享!
并感谢Crackstation.net ....
对不起,我现在没有钱可捐...但是我已经为您加了书签,以后您将获得您的捐款。 ..
值得每一分钱!再次感谢毗湿奴
–user26839
2013年6月7日12:39
#3 楼
在已经建议的建议中添加一些其他建议ftp://ftp.ox.ac.uk/pub/wordlists/-按语言列出可能很重要点取决于用户的位置...
http://www.openwall.com/passwords/wordlists/-openwall项目列出。
虽然严格来说不是字典站点(尽管确实有一些内容)http://sites.google.com/site/reusablesec/Home/presentations-and-papers上有一些不错的演示,它们从总体上提高了密码破解者的性能,特别是开膛手john的表现
评论
牛津大学的一所现在已经坏了或不公开。
–查尔斯·艾伦
17-10-23在17:21
#4 楼
尝试使用CrackLib词典:https://web.archive.org/web/20161225012801/http://linux.maruhn.com/sec/cracklib-dicts.html#5 楼
我测试了不同哈希函数冲突的可能性。为了帮助测试,我尝试了对英语中所有216,553个单词的进行哈希处理。从这些17.7位开始。
然后列出所有2,165,530个英语单词,其后跟一位数字。 (21.0位)
,然后是所有
21,655,300
英语单词的列表,其后是两位数字。 (24.4位),然后列出所有
524,058,260
英文单词,其首字母可能大写,后跟零,一或两位数字。 (29.0位)。使用一个英语单词列表,您几乎可以覆盖每个人的密码。
注意:XKCD始终是相关的
评论
破解时,通常使用“规则”完成这些排列(添加数字,大写)。例如,Hashcat使用给定的词典并应用一组用户定义的规则(hashcat.net/wiki/doku.php?id=rule_based_attack)。这允许在磁盘空间和处理器资源之间进行权衡。
–mcgyver5
2014年10月10日在12:19
您的第二个链接(所有英语单词)现在提供404,但已由WayBack机器存档。
– ComFreek
2014年6月7日在9:18
列出所有英语单词是一个可以接受的起点,但不是一个很好的起点。例如,本文中使用的方法无法找到非常简单且非常流行的密码“ 123456”,“ asdasd”和“ letmein”。您想从常见密码的特定列表开始,而不要从英语词典开始。
– Peteris
17年1月18日在11:07
#6 楼
另一个很好的资源在这里http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists/代码段:
[分析]字典&单词表
一般来说,使用“好的字典”或“单词表”(据我所知,它们是相同的!)是“关键”。但是,什么使它们良好?大多数人会说“越大越好”。但是,情况并非总是如此...(从记录来看,这并不是我对此事的看法-稍后会对此进行更多讨论)。
#7 楼
在英语维基词典的下载页面上,您会找到许多语言的单词。 enwiktionary-latest-all-titles-in-ns0.gz仅包含页面标题(包括短语)-尽管可能带有下划线而不是空格。 (我们有来自多种语言的单词的英语定义)。当然还有WordNet。(抱歉,作为一个新手,我只能包含一个链接)
#8 楼
到目前为止,所有文章都提供了很好的信息,但是请记住,您始终可以使用crunch之类的实用程序来生成单词列表。如果您知道密码参数是什么(例如,必须输入密码8-10个字符(仅包含字母和数字,不包含符号),您可以使用量身定制的参数将紧缩格式传送到大多数bruteforce程序。
#9 楼
这是我多年来发现的有用的方法:https://github.com/danielmiessler/SecLists
它包括流行的密码,基于攻击类型的模糊检测和常用的用户名。
#10 楼
您是否考虑过使用OpenSSH记录密码尝试。每天记录数千次尝试连接到Internet的主机是很常见的。这将为您提供数千个常见密码的列表,这些密码具有一定的成功记录,并提示非root用户(它们是常见目标)(例如nagios,db admins等)。有了列表后,便可以使用cewl生成这些基本密码的更多变体。我还建议您查找男性/女性姓名列表:大量的密码都是基于名称的。同样,一旦有了使用JTR的基本列表,它就会产生许多变化。
评论
请注意,“字典式攻击”与“暴力攻击”并不完全相同...这不是一个答案,但是在紧要关头,您总是可以抓住linux字典文件,它通常在这里。
您用它做什么?
@GeorgeBailey,渗透测试。
@GeorgeBailey我需要一个可拒绝的密码列表,用于我们网站上的密码更改功能。