Elenco hash per praticare il cracking delle password

4

Sto cercando risorse come una gara di cracking hash, ma offline. Più simile a una lista di esercitazioni di hash "password" appositamente predisposte allo scopo di testare varie tecniche di cracking. Attualmente sto valutando il runtime e l'efficacia degli attacchi basati su maschere e pianifico sull'apprendimento a scrivere regole JtR / Hashcat.

C'è qualche "metro di comando" per l'efficacia di elenchi di parole / regole / maschere?

    
posta mjb2kmn 14.09.2017 - 20:32
fonte

1 risposta

8

Hai un'idea giusta: questo è un ottimo modo per imparare.

Per i crack iniziali e intermedi, i migliori elenchi password generali sono elenchi effettivi di password, ovvero quelli trovati in perdite con grandi basi di utenti generali. E i migliori elenchi di hash generici sono gli hash delle perdite pubbliche.

Il tuo migliore "bang for the buck", secondo me, è gli elenchi hashish "left" e "found" (i "fondamenti" sono combinati in più file di archivio nella parte inferiore della pagina). Le liste più vecchie sono "congelate" dopo che l'anno è finito, quindi una volta scaricati quelli più vecchi, devi solo scaricare quest'anno di tanto in tanto.) Vedrai anche alcuni archivi "spazzatura" elencati qui. Sono meno efficienti, ma possono anche essere interessanti da giocare dopo aver esaurito altri attacchi.)

Per il benchmarking, l' elenco di parole Weakpass confronta l'efficacia dell'elenco di parole usando best64 set di regole contro alcuni bersagli. In questa lista, puoi vedere che l'efficienza generale rispetto alla dimensione della lista è abbastanza buona per l'elenco hashes.org combinato. (Ma scaricalo direttamente da hashes.org per ottenere il più recente).

Oltre a hashes.org, tutte le altre stringhe generate dall'uomo sono un grande foraggio, tra cui:

  • elenchi di parole da Wikipedia, Wikia, ecc. (Vedi sraveau su questo lavoro
  • Nomi utente e indirizzo email (parte utente a sinistra) da perdite
  • liste di nomi e cognomi dati (c'è un corpus di Facebook là fuori)
  • dizionari in lingue straniere (preferibilmente codificati in UTF-8)
  • nomi di strade, nomi di bande, nomi di brani
  • sequenze prevedibili già memorizzate (date, numeri di telefono, SSN ...)
  • ecc. (qualsiasi altra cosa le persone già ricordino)

Vedi anche pagina della password di SkullSecurity per alcuni buoni lead e test di efficienza di attacco di g0tmi1k , che sembra simile a quello che stai pianificando.

    
risposta data 14.09.2017 - 20:57
fonte

Leggi altre domande sui tag