パスワードクラッキングを実践するためのハッシュリスト

あなたは正しい考えを持っています-これは学ぶための素晴らしい方法です。

初級および中級のクラッキングの場合、最も一般的なpasswordリストは、実際のパスワードのリストです。これは、大規模な一般ユーザーベースのリークで見つかったものです。そして、一般的なベストプラクティスhashリストは、パブリックリークからのハッシュです。

私の意見では、あなたの最高の「ドルのための強打」は hashes.orgの「左」と「発見」リスト （「発見」はページの下部にある複数のアーカイブファイルにまとめられています）。古いリストは1年が過ぎると「フリーズ」するため、古いリストをダウンロードしたら、今年はたまにしかダウンロードする必要はありません。また、そこには「ジャンク」アーカイブがいくつか表示されます。それらは効率が悪いですが、他の攻撃を使い果たした後で遊ぶのも面白いかもしれません。）

ベンチマークでは、 Weakpass wordlist インデックスが best64 ルールセットを使用してワードリストの有効性をいくつかのターゲットに対して比較します。そのリストでは、一般的な効率リストのサイズと比較を組み合わせたhashes.orgリストに非常に適していることがわかります。 （しかし、最新のものを入手するには、hashs.orgから直接ダウンロードしてください）。

Hashes.orgを超えて、他のすべての人間が生成した文字列は素晴らしい飼料です：

• ウィキペディア、ウィキアなどの単語リスト（これについては sravea の作業を参照）
• リークからのユーザー名とメールアドレス（左側のユーザー部分）
• 名と姓のリスト（Facebookコーパスがあります）
• 外国語の辞書（UTF-8エンコードが望ましい）
• ストリート名、バンド名、曲名
• 予測可能なすでに記憶されたシーケンス（日付、電話番号、SSNなど）
• など（他の人がすでに覚えているもの）

良いリードについては SkullSecurityのパスワードページ と、計画しているものに似ている g0tmi1kの攻撃効率テスト も参照してください。