Ładna lista zebrana przez Rona Bowesa znajduje się tutaj:
http://www.skullsecurity.org/wiki/index.php/Passwords.

Inna lista pochodzi z InsidePro:
https://web.archive.org/web/20120207113205/http://www.insidepro.com/eng/download. shtml.

Ważnym elementem, który nie został dodany do listy, jest lista słów crackstation

Lista zawiera każdą listę słów, słownik i wyciek bazy danych haseł, które można znaleźć w Internecie (i spędziłem dużo czasu szukając). Zawiera również wszystkie słowa z baz danych Wikipedii (strony-artykuły, pobrane w 2010 roku, wszystkie języki), a także wiele książek z Projektu Gutenberg. Zawiera również hasła z niektórych niskoprofilowych włamań do baz danych, które były sprzedawane w podziemiu lata temu.

Najlepsze jest to, że jest darmowe, chociaż możesz (i powinieneś!) darowizna!

Kilka dodatkowych do dodania do już sugerowanych

• ftp://ftp.ox.ac.uk/pub/wordlists/ - listy według języka, może być ważnym punktem w zależności od lokalizacji użytkowników ...
• http://www.openwall.com/passwords/wordlists/ - Lista projektów openwall.
• Chociaż witryna nie jest wyłącznie słownikiem (chociaż ma kilka), http://sites.google.com/site/reusablesec/Home/presentations-and-papers ma dobre prezentacje na temat ogólnej poprawy wydajności programów do łamania haseł, aw szczególności john the ripper

Wypróbuj słowniki CrackLib: https://web.archive.org/web/20161225012801/http://linux.maruhn.com/sec/cracklib-dicts.html

Przetestowałem prawdopodobieństwo kolizji różnych funkcji haszujących. Aby pomóc w testowaniu, spróbowałem haszować

• wszystkie 216 553 słowa w języku angielskim. Zacznij od tych 17,7 bitów.

• następnie listę wszystkich 2165530 angielskich słów z jedną cyfrą po niej. (21,0 bitów)

• następnie listę wszystkich 21 655 300 angielskich słów z dwiema cyframi po nich. (24,4 bitów)

• następnie listę wszystkich 524 058 260 angielskich słów z możliwą wielką jako pierwszą literą, po których następuje zero, jedynka lub dwie cyfry. (29,0 bitów).

Jedna lista angielskich słów obejmuje hasła prawie każdego.

Uwaga: XKCD jest zawsze aktualne

Inne dobre źródło jest tutaj http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists/

snippet:

[Analiza] Słowniki & Listy słów
Ogólnie mówi się, że używanie DOBREJ „słownika” lub „listy słów” (o ile wiem, są takie same!) to „klucz”. Ale co sprawia, że ​​są DOBRE? Większość ludzi powie „im większy, tym lepszy”; jednak nie zawsze tak jest ... (dla przypomnienia, to nie jest moja opinia na ten temat - więcej o tym później).

Na stronie pobierania angielskiego Wikisłownika znajdziesz wiele słów w wielu językach. enwiktionary-latest-all-titles-in-ns0.gz zawiera tylko tytuły stron, w tym frazy - może jednak zawierać podkreślenia zamiast spacji. (mamy angielskie definicje słów z wielu języków).

I oczywiście jest też WordNet.

(przepraszam, ale jako nowicjusz mogę dołączyć tylko jeden link)

Wszystkie dotychczasowe posty zawierają świetne informacje, ale pamiętaj, że zawsze możesz samodzielnie wygenerować listy słów za pomocą narzędzia takiego jak crunch.

Jeśli masz pojęcie, jakie są parametry hasła (na przykład, ma być 8-10 znaków z tylko literami i cyframi, bez symboli), możesz przesyłać crunch do większości bruteforce programów z dostosowanymi parametrami.

Ten, który uważam za przydatny przez lata:

https://github.com/danielmiessler/SecLists

Zawiera popularne hasła, fuzzing na podstawie typu ataku i popularnych nazw użytkowników.

Czy rozważałeś instrumentowanie OpenSSH do rejestrowania prób podania hasła? W przypadku hosta podłączonego do Internetu często rejestruje się tysiące prób dziennie. To da ci listę kilku tysięcy typowych haseł, które mają historię sukcesu ORAZ wskazują użytkownikom innym niż root, którzy są częstymi celami (np. Nagios, administratorzy bazy danych itp.). Gdy masz już listę, możesz użyć cewl do wygenerowania o wiele więcej odmian tych podstawowych haseł.

Poleciłbym również przejrzeć listy imion męskich / żeńskich: ogromna liczba haseł opiera się na Nazwa. Ponownie, gdy masz już podstawową listę z użyciem cewl, wygeneruje ona wiele odmian.