web-dev-qa-db-ja.com

パスワードクラッキングを実践するためのハッシュリスト

ハッシュクラッキング競争のようなリソースを探していますが、オフラインです。さまざまなクラッキング技術をテストするために特別に細工された「パスワード」の実践リストのようなものです。現在、私はマスクベースの攻撃の実行時間と有効性をランク付けしており、JtR/Hashcatルールを書くことを学ぶことを計画しています。

単語リスト/ルール/マスクの効果を表す「判断基準」はありますか?

4
mjb2kmn

あなたは正しい考えを持っています-これは学ぶための素晴らしい方法です。

初級および中級のクラッキングの場合、最も一般的なpasswordリストは、実際のパスワードのリストです。これは、大規模な一般ユーザーベースのリークで見つかったものです。そして、一般的なベストプラクティスhashリストは、パブリックリークからのハッシュです。

私の意見では、あなたの最高の「ドルのための強打」は hashes.orgの「左」と「発見」リスト (「発見」はページの下部にある複数のアーカイブファイルにまとめられています)。古いリストは1年が過ぎると「フリーズ」するため、古いリストをダウンロードしたら、今年はたまにしかダウンロードする必要はありません。また、そこには「ジャンク」アーカイブがいくつか表示されます。それらは効率が悪いですが、他の攻撃を使い果たした後で遊ぶのも面白いかもしれません。)

ベンチマークでは、 Weakpass wordlist インデックスが best64 ルールセットを使用してワードリストの有効性をいくつかのターゲットに対して比較します。そのリストでは、一般的な効率リストのサイズと比較を組み合わせたhashes.orgリストに非常に適していることがわかります。 (しかし、最新のものを入手するには、hashs.orgから直接ダウンロードしてください)。

Hashes.orgを超えて、他のすべての人間が生成した文字列は素晴らしい飼料です:

  • ウィキペディア、ウィキアなどの単語リスト(これについては sravea の作業を参照)
  • リークからのユーザー名とメールアドレス(左側のユーザー部分)
  • 名と姓のリスト(Facebookコーパスがあります)
  • 外国語の辞書(UTF-8エンコードが望ましい)
  • ストリート名、バンド名、曲名
  • 予測可能なすでに記憶されたシーケンス(日付、電話番号、SSNなど)
  • など(他の人がすでに覚えているもの)

良いリードについては SkullSecurityのパスワードページ と、計画しているものに似ている g0tmi1kの攻撃効率テスト も参照してください。

8
Royce Williams