Belle liste recueillie par Ron Bowes, vous pouvez la trouver ici:
http://www.skullsecurity.org/wiki/index.php/Passwords.

Une autre liste provient d'InsidePro:
https://web.archive.org/web/20120207113205/http://www.insidepro.com/eng/download. shtml.

Un élément important qui n'a pas été ajouté à la liste est la liste de mots de crackstation

La liste contient toutes les listes de mots, dictionnaires et bases de données de mots de passe que je pourrait trouver sur Internet (et j'ai passé beaucoup de temps à chercher). Il contient également tous les mots des bases de données Wikipédia (pages-articles, récupérés en 2010, toutes les langues) ainsi que de nombreux livres du Projet Gutenberg. Il comprend également les mots de passe de certaines violations de base de données discrètes qui étaient vendues dans le métro il y a des années.

La meilleure chose est que c'est gratuit, même si vous pouvez (et devriez!) Faire un don!

Quelques autres à ajouter à ceux déjà suggérés

• ftp://ftp.ox.ac.uk/pub/wordlists/ - Listes par langue, peut être un point important selon les emplacements des utilisateurs ...
• http://www.openwall.com/passwords/wordlists/ - Les listes de projets openwall.
• Bien qu'il ne s'agisse pas strictement d'un site de dictionnaire (bien qu'il en ait quelques-uns), http://sites.google.com/site/reusablesec/Home/presentations-and-papers a quelques bons présentations sur l'amélioration des performances des crackers de mots de passe en général et de John the Ripper en particulier

Essayez les dictionnaires CrackLib: https://web.archive.org/web/20161225012801/http://linux.maruhn.com/sec/cracklib-dicts.html

J'ai testé la probabilité de collisions de différentes fonctions de hachage. Pour aider au test, j'ai essayé le hachage

• les 216 553 mots de la langue anglaise. Commencez par ces 17,7 bits.

• puis la liste de tous les 2 165 530 mots anglais suivis d'un chiffre . (21,0 bits)

• puis la liste de tous les 21,655,300 mots anglais avec deux chiffres après. (24,4 bits)

• puis la liste de tous les mots anglais 524 058 260 avec une majuscule possible comme première lettre, suivie de zéro, un ou deux chiffres. (29,0 bits).

Avec une liste de mots anglais, vous couvrirez le mot de passe de presque tout le monde.

Remarque: XKCD est toujours pertinent

Une autre bonne source est ici http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists/

snippet:

[Analyse] Dictionnaires & Wordlists
En général, on dit que l'utilisation d'un BON «dictionnaire» ou «liste de mots» (pour autant que je sache, ce sont les mêmes!) est «clé». Mais qu'est-ce qui les rend BONS? La plupart des gens diront «plus c'est gros, mieux c'est»; cependant, ce n'est pas toujours le cas ... (pour mémoire, ce n'est pas mon opinion sur la question - plus à ce sujet plus tard).

Vous trouverez de nombreux mots dans de nombreuses langues sur la page de téléchargement du Wiktionnaire anglais. enwiktionary-latest-all-title-in-ns0.gz ne contient que des titres de page, y compris des phrases - il peut cependant avoir des traits de soulignement au lieu d'espaces. (nous avons des définitions anglaises de mots de plusieurs langues).

Et bien sûr, il y a aussi WordNet.

(désolé mais en tant que débutant, je ne peux inclure qu'un lien)

Tous les articles jusqu'à présent contiennent d'excellentes informations, mais rappelez-vous que vous pouvez toujours générer vous-même des listes de mots avec un utilitaire comme crunch.

Si vous avez une idée de ce que sont les paramètres de mot de passe (par exemple, a être de 8 à 10 caractères avec seulement des lettres et des chiffres, pas de symboles), vous pouvez diriger Crunch vers la plupart des programmes bruteforce avec les paramètres personnalisés.

C'est celui que j'ai trouvé utile au fil des ans:

https://github.com/danielmiessler/SecLists

Il comprend des mots de passe, fuzzing en fonction du type d'attaque et des noms d'utilisateurs courants.

Avez-vous envisagé d'instrumenter OpenSSH pour enregistrer les tentatives de mot de passe. Il est courant d'enregistrer des milliers de tentatives chaque jour pour un hôte connecté à Internet. Cela vous donnera une liste de plusieurs milliers de mots de passe courants qui ont des antécédents de succès ET des indices sur les utilisateurs autres que root qui sont des cibles communes (par exemple, nagios, administrateurs de base de données, etc.). Une fois que vous avez une liste, vous pouvez ensuite utiliser cewl pour générer beaucoup plus de variantes de ces mots de passe de base.

Je vous recommande également de rechercher des listes de noms masculins / féminins: un grand nombre de mots de passe sont basés sur Nom. Encore une fois, une fois que vous avez une liste de base en utilisant cewl, elle générera de nombreuses variantes.