Mi chiedo dove posso trovare buone raccolte di dizionari che possono essere utilizzati per gli attacchi ai dizionari?
Ne ho trovati alcuni tramite Google, ma mi interessa sapere da dove prendi i tuoi dizionari.
Mi chiedo dove posso trovare buone raccolte di dizionari che possono essere utilizzati per gli attacchi ai dizionari?
Ne ho trovati alcuni tramite Google, ma mi interessa sapere da dove prendi i tuoi dizionari.
Bella lista raccolta da Ron Bowes che puoi trovare qui:
http://www.skullsecurity.org/wiki/index.php/Passwords.
L'altro elenco proviene da InsidePro:
https://web.archive.org/web/20120207113205/http://www.insidepro.com/eng/download. shtml.
Un altro importante che non è stato aggiunto all'elenco è il wordlist di crackstation
L'elenco contiene ogni fuga di parole, dizionario e database delle password che ho potrebbe trovare su Internet (e ho passato molto tempo a cercare). Contiene anche ogni parola nei database di Wikipedia (pagine-articoli, recuperati nel 2010, tutte le lingue) così come molti libri del Progetto Gutenberg. Include anche le password di alcune violazioni di database di basso profilo vendute nel sottosuolo anni fa.
La cosa migliore è che è gratuito, sebbene tu possa (e dovresti!) Creare un donazione!
Alcuni altri da aggiungere a quelli già suggeriti
Ho testato la probabilità di collisioni di diverse funzioni di hashing. Per aiutare il test, ho provato l'hashing
tutte le 216.553 parole in lingua inglese. Inizia con quei 17,7 bit.
quindi l'elenco di tutte le 2.165.530 parole inglesi con una cifra dopo. (21,0 bit)
quindi l'elenco di tutte le 21.655.300
parole inglesi con due cifre dopo. (24,4 bit)
quindi l'elenco di tutte le 524.058.260
parole inglesi con una possibile maiuscola come prima lettera e seguite da zero, uno o due cifre. (29,0 bit).
Con un elenco di parole inglesi coprirai quasi tutte le password.
Nota: XKCD è sempre pertinente
Un'altra buona fonte è qui http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists/
snippet:
[Analisi] Dizionari & Liste di parole
In generale, si dice che usare un BUON "dizionario" o "elenco di parole" (per quanto ne so, sono la stessa cosa!) è "chiave". Ma cosa li rende BUONI? La maggior parte delle persone dirà "più grande è, meglio è"; tuttavia, questo non è sempre il caso ... (per la cronaca questa non è la mia opinione in merito - ne parleremo più avanti).
Troverai molte parole in molte lingue nella pagina di download del Wikizionario italiano. enwiktionary-latest-tutti-i-titoli-in-ns0.gz contiene solo i titoli delle pagine, comprese le frasi, ma potrebbe contenere trattini bassi anziché spazi. (abbiamo definizioni inglesi di parole da molte lingue).
E ovviamente c'è anche WordNet.
(scusa ma come novellino posso includere solo un link)
Tutti i post fino ad ora contengono ottime informazioni, ma ricorda che puoi sempre generare elenchi di parole da solo con un'utilità come crunch.
Se hai un'idea di quali sono i parametri della password (ad esempio, ha per essere 8-10 caratteri con solo lettere e numeri, senza simboli), puoi reindirizzare crunch alla maggior parte dei programmi bruteforce con i parametri personalizzati.
Questo è uno che ho trovato utile nel corso degli anni:
https://github.com/danielmiessler/SecLists
Include popolari password, fuzzing in base al tipo di attacco e ai nomi utente più diffusi.
Hai considerato la possibilità di strumentare OpenSSH per registrare i tentativi di password. È comune registrare migliaia di tentativi ogni giorno per un host connesso a Internet. Questo ti darà un elenco di diverse migliaia di password comuni che hanno una certa esperienza di successo E suggeriscono ad utenti diversi da root che sono obiettivi comuni (ad esempio nagios, amministratori db ecc.). Una volta che hai un elenco, puoi usare cewl per generare molte più varianti di queste password di base.
Ti consiglio anche di cercare elenchi di nomi maschili / femminili: un numero enorme di password si basa su nome. Di nuovo, una volta che hai un elenco di base che utilizza cewl su di esso genererà molte varianti.