web-dev-qa-db-ja.com

辞書攻撃に適した辞書はどこにありますか?

辞書攻撃に使用できる辞書の良いコレクションはどこにあるのでしょうか。

Googleで見つけたものもありますが、辞書の入手先について聞きたいです。

authenticationpasswordsattacksbrute-forcedictionary
134
Chris Dale

Ron Bowesが収集した素敵なリストはここにあります:
http://www.skullsecurity.org/wiki/index.php/Passwords

他のリストはInsideProからのものです:
https://web.archive.org/web/20120207113205/http://www.insidepro.com/eng/download.shtml

62
anonymous

リストに追加されていない重要なものは crackstation wordlist です。

このリストには、インターネット上で見つけたすべての単語リスト、辞書、パスワードデータベースリークが含まれています(私は多くの時間をかけて調べました)。また、Wikipediaデータベース内のすべてのWord(ページ、記事、2010年に取得、すべての言語)、およびProject Gutenbergからの多数の本も含まれています。また、数年前にアンダーグラウンドで販売されていた一部の目立たないデータベース侵害のパスワードも含まれています。

最善のことは、無料ですが、寄付をすることができます(すべきです!)。

44
NULLZ

すでに提案されているものに追加するいくつかの追加のもの

28
Rory McCune

CrackLib辞書を試してください: https://web.archive.org/web/20161225012801/http://linux.maruhn.com/sec/cracklib-dicts.html

15
user185

私はテストしました 異なるハッシュ関数の衝突の可能性 。テストを助けるために、ハッシュを試しました

  • すべて英語で216,553語 。それらの17.7ビットから始めます。

  • 次に、すべての2,165,530英語の単語のリストの後に1つのdigitが続きます。 (21.0ビット)

  • 次に、すべてのリスト21,655,300 2つの数字の後に続く英語の単語。 (24.4ビット)

  • 次に、すべてのリスト524,058,260最初の文字が大文字の可能性があり、その後にゼロ、1、または2桁が続く英語の単語。 (29.0ビット)。

英語の単語の1つのリストで、ほぼ全員のパスワードをカバーできます。

注:XKCDは常に関連しています

11
Ian Boyd

別の良い情報源はこちら http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists/

スニペット:

[分析]辞書と単語リスト
一般に、良い '辞書'または '単語リスト'(私の知る限り、それらは同じです)を使用することが '重要'であると言われています。しかし、何が良いのでしょうか?ほとんどの人は「大きいほど良い」と言うでしょう。ただし、これが常に当てはまるわけではありません...(記録として、これは私の問題ではありません。これについては後で詳しく説明します)。

9
Tate Hansen

これまでのすべての投稿には素晴らしい情報が含まれていますが、クランチなどのユーティリティを使用して、Wordリストをいつでも自分で生成できることに注意してください。

パスワードパラメーターが何か(たとえば、文字と数字のみで、記号を含まない8〜10文字にする必要がある)がわかっている場合は、調整されたパラメーターを使用して、ほとんどのブルートフォースプログラムにパイプクランチを実行できます。

7
Chris Frazier

英語ウィクショナリーのダウンロードページで、多くの言語の多くの単語を見つけることができます。 enwiktionary-latest-all-titles-in-ns0.gz には、フレーズを含むページタイトルのみが含まれます。ただし、スペースではなくアンダースコアが含まれる場合があります。 (私たちは多くの言語からの単語の英語の定義を持っています)。

そしてもちろん、WordNetもあります。

(申し訳ありませんが、初心者として含めることができるリンクは1つのみです)

7
hippietrail

これは私が長年にわたって役に立ったと思っているものです:

https://github.com/danielmiessler/SecLists

これには、一般的なパスワード、攻撃タイプに基づくファジング、一般的なユーザー名が含まれます。

3
Abe Miessler

OpenSSHをインストルメント化してパスワードの試行をログに記録することを検討しましたか?インターネットに接続されたホストに対して、毎日何千回もの試行を記録するのが一般的です。これにより、成功の実績があり、一般的なターゲットであるroot以外のユーザー(nagios、db adminなど)をヒントにした数千の一般的なパスワードのリストが表示されます。リストを取得したら、cewlを使用して、これらの基本的なパスワードのさらに多くのバリエーションを生成できます。

男性/女性の名前のリストを調べることもお勧めします。膨大な数のパスワードは名前に基づいています。繰り返しになりますが、cewlを使用して基本的なリストを作成すると、多くのバリエーションが生成されます。

0
stiabhan