Sto cercando risorse come una gara di cracking hash, ma offline. Più simile a una lista di esercitazioni di hash "password" appositamente predisposte allo scopo di testare varie tecniche di cracking. Attualmente sto valutando il runtime e l'efficacia degli attacchi basati su maschere e pianifico sull'apprendimento a scrivere regole JtR / Hashcat.
C'è qualche "metro di comando" per l'efficacia di elenchi di parole / regole / maschere?
Hai un'idea giusta: questo è un ottimo modo per imparare.
Per i crack iniziali e intermedi, i migliori elenchi password generali sono elenchi effettivi di password, ovvero quelli trovati in perdite con grandi basi di utenti generali. E i migliori elenchi di hash generici sono gli hash delle perdite pubbliche.
Il tuo migliore "bang for the buck", secondo me, è gli elenchi hashish "left" e "found" (i "fondamenti" sono combinati in più file di archivio nella parte inferiore della pagina). Le liste più vecchie sono "congelate" dopo che l'anno è finito, quindi una volta scaricati quelli più vecchi, devi solo scaricare quest'anno di tanto in tanto.) Vedrai anche alcuni archivi "spazzatura" elencati qui. Sono meno efficienti, ma possono anche essere interessanti da giocare dopo aver esaurito altri attacchi.)
Per il benchmarking, l' elenco di parole Weakpass confronta l'efficacia dell'elenco di parole usando best64 set di regole contro alcuni bersagli. In questa lista, puoi vedere che l'efficienza generale rispetto alla dimensione della lista è abbastanza buona per l'elenco hashes.org combinato. (Ma scaricalo direttamente da hashes.org per ottenere il più recente).
Oltre a hashes.org, tutte le altre stringhe generate dall'uomo sono un grande foraggio, tra cui:
Vedi anche pagina della password di SkullSecurity per alcuni buoni lead e test di efficienza di attacco di g0tmi1k , che sembra simile a quello che stai pianificando.
Leggi altre domande sui tag password-cracking hashcat