Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Список хэшей для практики взлома паролей

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Список хешей для практики взлома паролей
  4. Рекомендуемые источники хешей
  5. Дополнительные источники для практики
  6. Эффективность словарей и правил
  7. Заключение

Вопрос или проблема

Я ищу ресурсы, подобные конкурсам по взлому хэшей, но офлайн. Больше похоже на список практических “паролей”, хешированных с целью тестирования различных техник взлома. В настоящее время я оцениваю время выполнения и эффективность атак на основе масок и планирую научиться писать правила для JtR/Hashcat.

Существует ли какая-либо “мерка” для оценки эффективности списков слов/правил/масок?

Вы на правильном пути – это отличный способ учиться.

Для начинающих и тех, кто на среднем уровне, лучшие общие парольные списки – это реальные списки паролей, найденные в утечках с большим общим числом пользователей. А лучшие общие практические хэш списки – это хэши из публичных утечек.

Наилучшее соотношение “цена-качество”, на мой взгляд, – это списки “left” и “found” на hashes.org (списки “found” объединены в несколько архивных файлов внизу страницы). Старые списки “заморожены” после окончания года, так что, скачав старые, вам нужно будет время от времени скачивать только списки этого года.) Вы также увидите там некоторые архивы “мусора”. Они менее эффективны, но могут быть интересны для экспериментов после исчерпания других атак.)

Для бенчмаркинга индекс Weakpass wordlist сравнивает эффективность списков слов, используя набор правил best64 по нескольким целям. В этом списке вы можете увидеть, что общая эффективность по сравнению с размером списка довольно хороша для объединенного списка hashes.org. (Но скачивайте его непосредственно с hashes.org, чтобы получить новейшую версию).

Кроме hashes.org, все другие строки, созданные человеком, являются отличным материалом, включая:

  • списки слов из Википедии, Wikia и т.д. (Смотрите работу sraveau по этому поводу)
  • имена пользователей и адреса электронной почты (левая часть пользователя) из утечек
  • списки имен и фамилий (существует корпус Facebook)
  • словарь на иностранных языках (желательно закодированный в UTF-8)
  • названия улиц, названия групп, названия песен
  • предсказуемые уже запомненные последовательности (даты, номера телефонов, номера социального обеспечения …)
  • и т.д. (всё остальное, что люди уже помнят)

Смотрите также страницу паролей SkullSecurity для получения хороших ссылок и тестов эффективности атак g0tmi1k, которые похожи на то, что вы планируете.

Ответ или решение

Список хешей для практики взлома паролей

Если вы интересуетесь изучением методов взлома паролей и ищете оптимизированные хеши для практики, вы на правильном пути. Ваша цель — оценить характеристики и эффективность маскированных атак, а также научиться писать правила для инструментов, таких как John the Ripper и Hashcat. В этом ответе мы рассмотрим доступные ресурсы и стратегии, которые помогут вам в этой практике.

Рекомендуемые источники хешей

  1. Hashes.org
    Один из лучших ресурсов для получения хешей — это hashes.org. Тут вы найдете списки хешей, отсортированные по различным критериям. Обратите внимание на разделы "left" и "found". Хеши, которые собраны на этой платформе, предлагают широкий выбор, и важной частью является то, что "founds" сводятся к архивам по годам, которые вы можете загружать раз в год.

  2. Weakpass
    Для оценки эффективности различных словарей хешей можно обратиться к Weakpass. Здесь представлена информация о сравнении эффективности словарей с использованием правил best64. Это поможет вам понять, как соотносятся размеры списков с их эффективностью.

Дополнительные источники для практики

Другие источники, которые стоит рассмотреть, включают:

  • Списки паролей из утечек: Используйте данные из крупных утечек паролей. Они предоставляют разнообразные наборы паролей, которые действительно использовали пользователи.
  • Лексические списки: Хорошими источниками будут списки слов из Википедии и других ресурсов, связанных со словарями.
  • Пользовательские имена и адреса электронной почты: Сбор данных о частых именах пользователей с утечек также может быть полезным материалом.
  • Поиск в специализированных словарях: Ищите списки имен, фамилий, улиц, названий групп и песен, которые могут быть использованы как пароли.
  • Мемоизированные последовательности: Это могут быть даты, телефонные номера и социальные номера.

Эффективность словарей и правил

При тестировании различных словарей и масок, вы можете учитывать следующие аспекты:

  • Размер словаря: Сравнивайте количество строк с количеством удачных вхождений.
  • Скорость атаки: Измеряйте время, необходимое для успешного взлома с использованием каждого словаря.
  • Разнообразие паролей: Используйте словари, содержащие различные типы паролей, чтобы протестировать универсальность ваших подходов.

Заключение

Изучение методов взлома паролей является важной составляющей работы в области безопасности IT. Используя ресурсы, такие как hashes.org и Weakpass, вы сможете на практике отточить свои навыки в области взлома паролей, оценить эффективность различных подходов и расширить свои знания о хешировании и создании паролей. Со временем, систематизируя свои находки и анализируя результаты, вы сможете достичь большей эффективности в своих усилиях.

Не забывайте: Используйте эти навыки этично и законно, соблюдая все необходимые правовые нормы и принципы безопасности.

hashcat password-cracking
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности