Como dice el viejo adagio, " no es el tamaño de tu lista de palabras lo que importa, es cómo lo usas. " Y cuál usas. Te daré algunos consejos.
Para obtener listas de contraseñas y listas de palabras sin contraseña relevantes para mis sugerencias, consulte SkullSecurity , KoreLogic , y Openwall . Las filtraciones mencionadas son todas de SkullSecurity. O puede buscar fugas y usarlas como una base, a lo largo del tiempo, desarrollando buenas listas. Vea los feeds de Twitter de pastebinleaks y observe las noticias y busque las filtraciones que se anuncian, especialmente cuando están en texto plano. Incluso si algunas de las fugas son puros hashes y necesitas romperlas, todavía te dará una idea de lo que se está utilizando en la naturaleza y te ayudará a evaluar el valor de tus listas de contraseñas .
A los consejos.
- Elija una lista de palabras relevante para la base de usuarios de su objetivo
- Fugas de contraseña similares a su objetivo (por ejemplo, Faithwriters, Hak5, Ultimate Strip Club List)
- Temas relevantes (equipos deportivos y terminología, jerga, nombres de ciudades / pueblos)
- Idiomas relevantes (por ejemplo, fuga de Älypää, diccionarios extranjeros, Wikipedia extranjera)
- Genera el tuyo!
- sitio web del objetivo de rastreo
- Pele y luego use las reglas de mutilación de contraseñas que ya se han roto
- Busque tendencias en las contraseñas que ya se han descifrado y encuentre una fuente (o genere una) que sea categóricamente similar
- Manglar listas genéricas
- Observe las reglas de manipulación por defecto de JtR y las publicadas de KoreLogic para inspirarse
- Listas de nombres. primera inicial apellido, primer apellido última inicial, primer nombre, apellido
- Escriba reglas de mutilación que se ajusten a los patrones que ve en las contraseñas que ya se han roto
- Listas de cosas ordinarias al azar (por ejemplo, números de teléfono)
- No usar listas en absoluto
- Cadenas de Markov (ver JtR Jumbo)
- modos incrementales predeterminados JtR
- Otras cosas probables
- Ir a través de todas las combinaciones de dígitos entre 1 dígito y tan alto como pueda manejar
- Use tablas de Rainbow si las contraseñas sin sal están en uso
- Sé perezoso y usa fugas generalizadas como RockYou
- piensa en la política de contraseña
- EXCLUIR GUICAS FUERA DE LA POLÍTICA DE CONTRASEÑA
- Conozca cuál es la política de contraseñas a través del análisis de contraseñas descifradas
- Realice patrones que pueden ser solo su imaginación o creados por sus tácticas
- Piensa en los espacios clave y tácticas que no has probado
En resumen:
- Las listas de contraseñas no lo son todo
- Aprende a escribir buenas reglas de gestión
- Analiza lo que has roto
- Use scripting para generar patrones comunes sobre la marcha
- Crea tus propias listas de palabras
- Elija listas relevantes