Primero, (a menos que esté hablando del modo de "crack simple" en general), no estoy seguro de lo que quiere decir con "una lista de palabras reducida de información del usuario". Suena como si estuvieras describiendo un simple ataque de lista de palabras, que se ejecuta con la opción --wordlist [wordlist] .
En segundo lugar, desde la documentación de los modos JtR , la lista de palabras utilizada por el modo "crack simple" es:
Utilizará los nombres de inicio de sesión, los campos "GECOS" / "Nombre completo" y los usuarios
nombres de directorios de inicio como contraseñas candidatas, también con un gran conjunto de
reglas de mutilación aplicadas.
La forma de ejecutar un ataque de "crack simple" en un sistema separado es simplemente proporcionar la entrada /etc/shadow completa a JtR como el "hash" objetivo. (En otras palabras, no está extrayendo los datos de /etc/shadow directamente; en su lugar, está extrayendo esa información y proporcionándola por separado). Cuando se ejecuta en modo "crack simple", sabe cómo analizar cada campo y usarlos en consecuencia.