n0kovo/awesome-password-cracking

# Awesome 密码破解 [](https://awesome.re) 在密码分析和计算机安全领域，密码破解是指从以混乱形式存储在计算机系统中或由计算机系统传输的数据中恢复密码的过程。一种常见的方法（[暴力破解](https://en.wikipedia.org/wiki/Brute-force_attack)）是反复尝试猜测密码，并根据现有的密码加密哈希值对其进行验证。 这是一份由 [@n0kovo@infosec.exchange](https://infosec.exchange/@n0kovo/?l) 精选的列表，收录了与密码破解和密码安全相关的优秀工具、研究、论文和其他项目。 贡献前请阅读 [CONTRIBUTING.md](https://github.com/narkopolo/awesome-password-cracking/blob/main/CONTRIBUTING.md)！简而言之： - 列表按字母顺序排序 - 如有疑问，请使用 [awesome-lint](https://github.com/sindresorhus/awesome-lint) - 如果您认为某个项目不应出现在此处，请[提交 issue](https://github.com/narkopolo/awesome-password-cracking/issues/new) ## 目录 - [Awesome Password Cracking ](#awesome-password-cracking--) - [目录](#contents) - [书籍](#books) - [云端](#cloud) - [转换](#conversion) - [Hashcat](#hashcat) - [自动化](#automation) - [分布式破解](#distributed-cracking) - [规则](#rules) - [规则工具](#rule-tools) - [Web 接口](#web-interfaces) - [John the Ripper](#john-the-ripper) - [杂项](#misc) - [知名人士](#notable-people) - [网站](#websites) - [社区](#communities) - [查询服务](#lookup-services) - [字典工具](#wordlist-tools) - [分析](#analysis) - [生成/处理](#generationmanipulation) - [字典](#wordlists) - [特定语言](#laguage-specific) - [其他](#other) - [特定文件格式](#specific-file-formats) - [PDF](#pdf) - [JKS](#jks) - [ZIP](#zip) - [机器学习 / AI](#machine-learning--ai) - [研究](#research) - [文章和博客帖子](#articles-and-blog-posts) - [论文](#papers) - [演讲](#talks) ## 书籍 - [Hash Crack: Password Cracking Manual (v3)](https://www.amazon.com/-/en/Joshua-Picolet/dp/1793458618) - 密码破解手册 v3 是一份扩展参考指南，涵盖了密码恢复（破解）方法、工具和分析技术。 ## 云端 - [Cloud_crack](https://github.com/lordsaibat/Cloud_crack) - 使用 Terraform 和 AWS 破解密码。 - [Cloudcat](https://github.com/stormfleet/cloudcat) - 一个脚本，用于自动化创建用于哈希破解的云基础设施。 - [Cloudstomp](https://github.com/Fmstrat/cloudstomp) - 通过插件在 EC2 上自动部署实例，以最低价格运行高 CPU/GPU 应用程序。 - [Cloudtopolis](https://github.com/JoelGMSec/Cloudtopolis) - 一个有助于在 Google Cloud Shell 平台上快速且完全无人值守地安装和配置 Hashtopolis 的工具（而且也是免费的！）。 - [NPK](https://github.com/c6fc/npk) - NPK 是一个完全由 AWS 中的无服务器组件（包括 Cognito、DynamoDB 和 S3）构建的分布式哈希破解平台。 - [Penglab](https://github.com/mxrch/penglab) - 滥用 Google Colab 进行哈希破解。 - [Rook](https://github.com/JumpsecLabs/Rook) - 自动创建用于基于 GPU 的密码破解的 AWS p3 实例。 ## 转换 - [7z2hashcat](https://github.com/philsmd/7z2hashcat) - 从受密码保护的 .7z 存档（和 .sfx 文件）中提取信息，以便您可以使用 hashcat 破解这些“哈希”。 - [MacinHash](https://github.com/jmagers/MacinHash) - 将 macOS plist 密码文件转换为密码破解器的哈希文件。 - [NetNTLM-Hashcat](https://github.com/ins1gn1a/NetNTLM-Hashcat) - 将 John The Ripper/Cain 格式的哈希（单个或批量）转换为 HashCat 兼容的哈希格式。 - [Rubeus-to-Hashcat](https://github.com/PwnDexter/Rubeus-to-Hashcat) - 将 Rubeus kerberoasting 输出转换/格式化为 hashcat 可读格式。 - [WINHELLO2hashcat](https://github.com/Banaanhangwagen/WINHELLO2hashcat) - 使用此工具可以从 WINDOWS HELLO PIN 中提取“哈希”。该哈希可以用 Hashcat 破解。 - [bitwarden2hashcat](https://github.com/0x6470/bitwarden2hashcat) - 一种将 Bitwarden 数据转换为适合 hashcat 的哈希的工具。 - [hc\_to\_7z](https://github.com/philsmd/hc_to_7z) - 将 7-Zip hashcat 哈希转换回 7z 存档。 - [hcxtools](https://github.com/ZerBea/hcxtools) - 将 cap/pcap/pcapng（gz 压缩）WiFi 转储文件转换为 hashcat 格式的便携式解决方案。 - [itunes_backup2hashcat](https://github.com/philsmd/itunes_backup2hashcat) - 从 Manifest.plist 文件中提取所需信息，将其转换为与 hashcat 兼容的哈希。 - [mongodb2hashcat](https://github.com/philsmd/mongodb2hashcat) - 从 MongoDB 数据库服务器提取哈希，转换为 hashcat 接受的哈希格式：-m 24100 (SCRAM-SHA-1) 或 -m 24200 (SCRAM-SHA-256)。 ## Hashcat *[Hashcat](https://github.com/hashcat/hashcat) 是“世界上最快、最先进的密码恢复实用程序”。以下是直接或间接与 Hashcat 相关的项目。* - [Autocrack](https://github.com/pry0cc/autocrack) - 一套用于自动和半自动破解哈希的客户端和服务器工具。 - [docker-hashcat](https://github.com/dizcza/docker-hashcat) - 适用于 Ubuntu 18.04 CUDA、OpenCL 和 POCL 的最新 hashcat docker。 - [Hashcat-Stuffs](https://github.com/xfox64x/Hashcat-Stuffs) - hashcat 列表和资源的集合。 - [hashcat-utils](https://github.com/hashcat/hashcat-utils/) - 在高级密码破解中有用的小工具。 - [Hashfilter](https://github.com/bharshbarger/Hashfilter) - 读取 hashcat potfile 并将不同类型解析到 sqlite 数据库中。 - [known_hosts-hashcat](https://github.com/chris408/known_hosts-hashcat) - 使用 hashcat 破解 ssh known_hosts 文件的指南和工具。 - [pyhashcat](https://github.com/f0cker/pyhashcat) - libhashcat 的 Python C API 绑定。 ### 自动化 - [autocrack](https://github.com/timbo05sec/autocrack) - 帮助自动化破解过程的 Hashcat 包装器。 - [hat](https://github.com/sp00ks-git/hat) - 一个自动化 Hashcat 工具，包含常用字典和规则，以加快任务期间破解哈希的过程。 - [hate_crack](https://github.com/trustedsec/hate_crack) - 来自 TrustedSec 团队的通过 Hashcat 自动化破解方法论的工具。 - [Naive hashcat](https://github.com/brannondorsey/naive-hashcat) - Naive hashcat 是一个即插即用的脚本，预先配置了基于经验测试的、足够好的参数/攻击类型。 ### 分布式破解 - [CrackLord](https://github.com/jmmcatee/cracklord) - 用于破解密码的队列和资源系统。 - [fitcrack](https://github.com/nesfit/fitcrack) - 基于 hashcat 的分布式密码破解系统。 - [Hashstation](https://github.com/hashstation/hashstation) - Hashstation 是一个基于 BOINC 的分布式密码破解系统，内置 Web 接口。 - [Hashtopolis](https://github.com/hashtopolis/server) - 一个多平台客户端-服务器工具，用于将 hashcat 任务分发到多台计算机。 - [Kraken](https://github.com/arcaneiceman/kraken) - 一个多平台分布式暴力密码破解系统。 ### 规则 - [clem9669 rules](https://github.com/clem9669/hashcat-rule) - 用于 hashcat 或 john 的规则。 - [hashcat rules collection](https://github.com/narkopolo/hashcat-rules-collection) - 可能是现存最大的 hashcat 规则集合。 - [Hob0Rules](https://github.com/praetorian-inc/Hob0Rules) - 基于统计和行业模式的 Hashcat 密码破解规则。 - [Kaonashi](https://github.com/kaonashi-passwords/Kaonashi) - 来自 Kaonashi 项目 (RootedCON 2019) 的字典、规则和掩码。 - [nsa-rules](https://github.com/NSAKEY/nsa-rules) - 根据已破解密码生成的用于 hashcat 的密码破解规则和掩码。 - [nyxgeek-rules](https://github.com/nyxgeek/nyxgeek-rules) - 用于 Hashcat 和 John the Ripper 的自定义密码破解规则。 - [OneRuleToRuleThemAll](https://github.com/NotSoSecure/password_cracking_rules) - “一条规则破解所有密码。或者至少我们希望如此。” - [OneRuleToRuleThemStill](https://github.com/stealthsploit/OneRuleToRuleThemStill) - “我最初的 OneRuleToRuleThemAll hashcat 规则的改进和更新版本。” - [pantagrule](https://github.com/rarecoil/pantagrule) - 从现实世界泄露的密码生成的大型 hashcat 规则集。 ### 规则工具 - [duprule](https://github.com/mhasbini/duprule) - 检测并过滤重复的 hashcat 规则。 - [ruleprocessorY](https://github.com/TheWorkingDeveloper/ruleprocessorY) - 下一代规则处理器，具有复杂的的多字节字符支持，专为支持 Hashcat 而构建。 ### Web 接口 - [crackerjack](https://github.com/ctxis/crackerjack) - CrackerJack 是一个用 Python 开发的 Hashcat Web GUI。 - [CrackQ](https://github.com/f0cker/crackq) - 一个 Python Hashcat 破解队列系统。 - [hashpass](https://github.com/dj-zombie/hashpass) - 用于 hashcat 的哈希破解 WebApp 和服务器。 - [Hashview](https://github.com/hashview/hashview) - 用于密码破解和分析的 Web 前端。 - [Wavecrack](https://github.com/wavestone-cdt/wavecrack) - Wavestone 的使用 hashcat 进行密码破解的 Web 接口。 - [WebHashCat](https://github.com/hegusung/WebHashcat) - WebHashcat 是一个非常简单但高效的 hashcat 密码破解工具 Web 接口。 ## John the Ripper *[John the Ripper](https://github.com/openwall/john) 是“一款开源的密码安全审计和密码恢复工具，适用于许多操作系统。”以下是直接或间接与 John the Ripper 相关的项目。* - [BitCracker](https://github.com/e-ago/bitcracker) - BitCracker 是第一个用于破解使用 BitLocker 加密的内存单元的开源密码破解工具。 - [johnny](https://github.com/openwall/johnny) - John the Ripper 的 GUI 前端。 ## 杂项 - [Hashes](https://github.com/zefr0x/hashes) - 识别哈希算法（Name That Hash 的 GUI 前端）。 - [hashgen](https://github.com/cyclone-github/hashgen) - Hashgen 是一个简单但非常快速的 CLI 哈希生成器，用 Go 编写，并为 Linux、Windows 和 Mac 交叉编译。 - [Name That Hash](https://github.com/HashPals/Name-That-Hash) - 不知道是什么类型的哈希？Name That Hash 会命名该哈希类型！识别 MD5、SHA256 和其他 300 多种哈希。附带一个不错的 Web 应用程序。 ### 知名人士 - Alotdv - [Twitter](https://twitter.com/AlongExc). - Clem9669 - [GitHub](https://github.com/clem9669). - Coolbry95 - [GitHub](https://github.com/coolbry95) / [Twitter](https://twitter.com/coolbry95). - Dakykilla - [GitHub](https://github.com/dakykilla) / [Twitter](https://twitter.com/dakykilla). - Dropdeadfu - [GitHub](https://github.com/dropdeadfu) / [Twitter](https://twitter.com/dropdeadfu). - Epixoip - [GitHub](https://github.com/epixoip) / [Mastodon](https://infosec.exchange/@epixoip) / [Twitter](https://twitter.com/jmgosney). - Evilmog - [GitHub](https://github.com/evilmog/) / [Mastodon](https://infosec.exchange/@evilmog) / [Twitter](https://twitter.com/Evil_Mog). - Hydraze - [GitHub](https://github.com/Hydraze) / [Mastodon](https://infosec.exchange/@hydraze) / [Twitter](https://twitter.com/Hydraze). - JakeWnuk - [GitHub](https://github.com/jakewnuk). - Kontrast23 - [GitHub](https://github.com/kontrast23) / [Twitter](https://twitter.com/marco_preuss). - M3g9tr0n - [GitHub](https://github.com/m3g9tr0n) / [Twitter](https://twitter.com/m3g9tr0n). - Matrix - [GitHub](https://github.com/matrix) / [Twitter](https://twitter.com/gm4tr1x). - Minga - [Twitter](https://twitter.com/mingadotcom). - N0kovo - [GitHub](https://github.com/n0kovo) / [Mastodon](https://infosec.exchange/@n0kovo) / [Twitter](https://twitter.com/n0kovos). - NSAKEY - [GitHub](https://github.com/NSAKEY) / [Twitter](https://twitter.com/_NSAKEY) / [Website](https://abigisp.com/). - NullMode - [GitHub](https://github.com/NullMode) / [Mastodon](https://infosec.exchange/@nullmode_@twtr.plus) / [Twitter](https://twitter.com/nullmode_). - Paule965 - [Twitter](https://twitter.com/paule965). - Philsmd - [GitHub](https://github.com/philsmd) / [Twitter](https://twitter.com/philsmd- Roycewilliams - [GitHub](https://github.com/roycewilliams) / [Mastodon](https://infosec.exchange/@tychotithonus) / [Twitter](https://twitter.com/TychoTithonus). - RuraPenthe - [GitHub](https://github.com/bitcrackcyber) / [Mastodon](https://infosec.exchange/@rurapenthe) / [Twitter](https://twitter.com/RuraPenthe0). - S3in!c - [GitHub](https://github.com/s3inlc) / [Mastodon](https://infosec.exchange/@s3inlc) / [Twitter](https://twitter.com/s3inlc). - Tehnlulz - [GitHub](https://github.com/tehnlulz) / [Twitter](https://twitter.com/tehnlulz). - The_Mechanic - [GitHub](https://github.com/th3mechanic) / [Twitter](https://twitter.com/th3_m3chan1c). - ToXiC - [Twitter](https://twitter.com/yiannistox). - Undeath - [GitHub](https://github.com/undeath). - Unix-ninja - [GitHub](https://github.com/unix-ninja) / [Mastodon](https://infosec.exchange/@unix_ninja@twitterbridge.jannis.rocks) / [Twitter](https://twitter.com/unix_ninja). - Xan - [GitHub](https://github.com/Xanadrel) / [Mastodon](https://infosec.exchange/@Xanadrel) / [Twitter](https://twitter.com/Xanadrel). ## 网站 ### 社区 - [hashcat Forum](https://hashcat.net/forum/) - hashcat 开发者的论坛。 - [Hashmob](https://hashmob.net/) - 一个不断发展的密码恢复社区，旨在成为密码学爱好者协作的中心点。拥有庞大的字典集合和查询服务。 - [Hashkiller Forum](https://forum.hashkiller.io/) - 拥有超过 20,000 名注册用户的密码破解论坛。 ### 查询服务 - [CMD5](https://www.cmd5.org/) - 提供在线 MD5 / sha1/ mysql / sha256 加密和解密服务。 - [CrackStation](https://crackstation.net/) - 免费哈希查询服务，同时也提供字典。 - [gohashmob](https://github.com/n0kovo/gohashmob) - 使用 HashMob API 快速查询哈希的 Go CLI 应用程序。 - [Hashes.com](https://hashes.com/) - 具有付费功能的哈希查询服务。 - [Hashkiller](https://hashkiller.io/) - 带有论坛的哈希查询服务。 - [Online Hash Crack](https://www.onlinehashcrack.com/) - 云密码恢复服务。 ## 字典工具 *用于分析、生成和处理字典的工具。* ### 分析 - [PACK](https://github.com/iphelix/pack) - 开发的实用程序集合，旨在帮助分析密码列表，以便通过掩码、规则、字符集和其他密码特征的图案检测来增强密码破解。 - [password-smelter](https://github.com/TheTechromancer/password-smelter) - 从 hashcat 等工具提取密码并输出为 HTML、Markdown、XLSX、PNG、JSON。支持深色和浅色主题。配合 password-stretcher 使用。 - [password-stretcher](https://github.com/thetechromancer/password-stretcher) - 从网站、文件或标准输入生成“大量”的密码。配合 password-smelter 使用。 - [pcfg_cracker](https://github.com/lakiw/pcfg_cracker) - 该项目使用机器学习来识别用户的密码创建习惯。 - [Pipal](https://github.com/digininja/pipal) - 终极密码分析器。 - [Graphcat](https://github.com/Orange-Cyberdefense/graphcat) - 根据密码破解结果生成图形和图表。 ### 生成/处理 - [accent_permutator](https://github.com/cyclone-github/accent_permutator) - 将字符从 ASCII / UTF-8 转换为重音字符（例如将 "o" 转换为 "ò"）的工具。 - [anew](https://github.com/tomnomnom/anew) - 将标准输入中的行追加到文件中，但前提是它们尚未出现在文件中。也将新行输出到标准输出，使其有点像去除重复项的 tee -a。 - [bopscrk](https://github.com/r3nt0n/bopscrk) - 为针对性攻击生成智能且强大的字典。包括歌词获取和不同的转换。 - [common-substr](https://github.com/sensepost/common-substr) - 从输入文本中提取最常见子字符串的简单工具。专为密码破解而构建。 - [Crunch](https://sourceforge.net/projects/crunch-wordlist/) - Crunch 是一个字典生成器，您可以在其中指定标准字符集或自定义字符集。Crunch 可以生成所有可能的组合和排列。 - [CUPP](https://github.com/Mebus/cupp) - 一个让您通过用户配置文件数据（如生日、昵称、地址、宠物或亲戚的名字等）生成字典的工具。 - [duplicut](https://github.com/nil0x42/duplicut) - 从海量字典中删除重复项，无需对其进行排序（用于基于字典的密码破解）。 - [Gorilla](https://github.com/d4rckh/gorilla) - 用于生成字典或使用变体扩展现有字典的工具。 - [Gramify](https://github.com/TheWorkingDeveloper/gramify) - 基于单词、字符或字符集创建字典的 N-gram，用于离线密码攻击和数据分析。 - [Elpscrk](https://github.com/D4Vinci/elpscrk) - Elpscrk 类似于 cupp，但它基于排列和统计，同时具有内存效率。 - [Keyboard-Walk-Generators](https://github.com/Rich5/Keyboard-Walk-Generators) - 生成用于破解的键盘漫步字典。 - [kwprocessor](https://github.com/hashcat/kwprocessor) - 高级键盘漫步生成器，具有可配置的 basechars、keymap 和 routes。 - [maskprocessor](https://github.com/hashcat/maskprocessor/) - 具有可逐位配置字符集的高性能单词生成器。 - [maskuni](https://github.com/flbdx/maskuni) - 一个独立的快速单词生成器，秉承 hashcat 掩码生成器的精神，支持 unicode。 - [Mentalist](https://github.com/sc0tfree/mentalist) - Mentalist 是一个用于自定义字典生成的图形工具。它利用常见的人类范式来构建密码，并可以输出完整的字典以及与 Hashcat 和 John the Ripper 兼容的规则。 - [PTT](https://github.com/JakeWnuk/ptt) - 密码转换工具 (ptt) 是一种专为密码破解设计的多功能实用程序。它有助于创建自定义规则和转换，以及生成字典。该工具支持处理来自文件、URL 和标准输入的数据，从而简化破解工作流程。 - [Phraser](https://github.com/Sparell/Phraser) - Phraser 是一个短语生成器，使用 n-gram 和马尔可夫链生成用于密码短语破解的短语。 - [princeprocessor](https://github.com/hashcat/princeprocessor) - 使用 PRINCE 算法的独立密码候选生成器。 - [Rephraser](https://github.com/travco/rephraser) - 使用马尔可夫链进行语言正确密码破解的基于 Python 的 Phraser 重构版。 - [Rling](https://github.com/Cynosureprime/rling) - RLI Next Gen (Rling)，hashcat 实用程序中 rli 的更快、多线程、功能丰富的替代品。 - [statsprocessor](https://github.com/hashcat/statsprocessor/) - 基于逐位马尔可夫链的单词生成器。 - [StringZilla](https://github.com/ashvardanian/StringZilla) - Python 和 C 中针对长字符串和多 GB 文件的最快字符串排序、搜索、拆分和随机排序工具。 - [TTPassGen](https://github.com/tp7309/TTPassGen) - 灵活且可脚本化的密码字典生成器，支持暴力破解、组合、复杂规则模式等。 - [token-reverser](https://github.com/dariusztytko/token-reverser) - 用于破解安全令牌的字列表生成器。 - [WikiRaider](https://github.com/NorthwaveSecurity/wikiraider) - WikiRaider 使您能够根据特定国家/地区的 Wikipedia 数据库生成字典。 ## 字典 ### 特定语言 - [Albanian wordlist](https://github.com/its0x08/albanian-wordlist) - 混合了名字、姓氏和一些阿尔巴尼亚文学。 - [Danish Phone Wordlist Generator](https://github.com/narkopolo/danish_phone_wordlist_generator) - 该工具可以按地区和/或用途（手机、座机等）生成丹麦电话号码字典。适用于密码破解或对丹麦目标进行模糊测试。 - [Danish Wordlists](https://github.com/narkopolo/danish-wordlists) - 用于破解丹麦语密码的丹麦语字典集合。 - [French Wordlists](https://github.com/clem9669/wordlists) - 该项目旨在提供关于人们可能用作基础密码的所有事物的法语单词列表。 ### 其他 - [Packet Storm Wordlists](https://packetstormsecurity.com/Crackers/wordlists/page1/) - 包含多种语言的大量不同字典集合。 - [Rocktastic](https://labs.nettitude.com/tools/rocktastic/) - 包含在野外观察到的许多密码排列和模式。 - [RockYou2021](https://github.com/ohmybahgosh/RockYou2021.txt) - RockYou2021.txt 是由各种其他字典编译而成的海量字典。 - [WeakPass](https://weakpass.com/) - 大型字典集合。 ## 特定文件格式 ### PDF - [pdfrip](https://github.com/mufeedvh/pdfrip) - 一个多线程 PDF 密码破解实用程序，配备了常见密码格式构建器和字典攻击。 ### JKS - [JKS private key cracker](https://github.com/floyd-fuh/JKS-private-key-cracker-hashcat) - 破解 JKS 文件中私钥条目的密码。 ### ZIP - [bkcrack](https://github.com/kimci86/bkcrack) - 使用 Biham 和 Kocher 的已知明文攻击破解传统 zip 加密。 - [frackzip](https://github.com/hyc/fcrackzip) - 用于破解加密 ZIP 存档的小工具。 ## 机器学习 / AI - [adams](https://github.com/TheAdamProject/adams) - 通过深度学习和动态字典减少现实世界密码强度建模中的偏差。 - [neural network cracking](https://github.com/cupslab/neural_network_cracking) - 使用神经网络破解密码的代码。 - [RNN-Passwords](https://github.com/gehaxelt/RNN-Passwords) - 使用 char-rnn 学习和猜测密码。 - [rulesfinder](https://github.com/synacktiv/rulesfinder) - 此工具针对给定的字典和密码列表，查找有效的密码变形规则（用于 John the Ripper 或 Hashcat）。 - [PassGPT](https://github.com/javirandor/passgpt) - PassGPT 是一个在密码泄露数据上从头开始训练的 GPT-2 模型。 - [SePass: Semantic Password Guessing using k-nn Similarity Search in Word Embeddings](https://github.com/Knuust/SePass) - 一种利用词嵌入发现和利用密码列表中语义相关性的密码猜测方法。 ## 研究 ### 文章和博客帖子 - [使用掩码优化字典](https://jakewnuk.com/posts/optimizing-wordlists-w-masks/) - [Purple Rain 攻击 - 随机生成的密码破解](https://www.netmux.com/blog/purple-rain-attack) - [使用令牌交换攻击粉碎哈希](https://jakewnuk.com/posts/token-swapping-attack/) - [Bcrypt 25 周年：密码安全回顾](https://www.usenix.org/publications/loginonline/bcrypt-25-retrospective-password-security) ### 论文 - [PassGPT: Password Modeling and (Guided) Generation with LLMs](https://arxiv.org/abs/2306.01545) - [Password Cracking Using Probabilistic Context-Free Grammars (2009)](https://www.researchgate.net/publication/220713709_Password_Cracking_Using_Probabilistic_Context-Free_Grammars) - [Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks (2016)](https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/melicher) - [PassGAN: A Deep Learning Approach for Password Guessing (2017)](https://arxiv.org/pdf/1709.00440) - [GENPass: A General Deep Learning Model for Password Guessing with PCFG Rules and Adversarial Generation (2018)](https://ieeexplore.ieee.org/document/8422243) - [Generating Optimized Guessing Candidates toward Better Password Cracking from Multi-Dictionaries Using Relativistic GAN (2020)](https://www.mdpi.com/2076-3417/10/20/7306/htm) - [Reducing Bias in Modeling Real-world Password Strength via Deep Learning and Dynamic Dictionaries (2020)](https://arxiv.org/abs/2010.12269) - [PassFlow: Guessing Passwords with Generative Flows (2021)](https://arxiv.org/abs/2105.06165) - [GNPassGAN: Improved Generative Adversarial Networks For Trawling Offline Password Guessing (2022)](https://arxiv.org/pdf/2208.06943) - [The Revenge of Password Crackers: Automated Training of Password Cracking Tools (2022)](https://doi.org/10.1007/978-3-031-17146-8_16) - [A Systematic Review on Password Guessing Tasks (2023)](https://doi.org/10.3390/e25091303) - [Harder, better, faster, stronger: Optimising the performance of context-based password cracking dictionaries (2023)](https://doi.org/10.1016/j.fsidi.2023.301507) - [Confident Monte Carlo: Rigorous Analysis of Guessing Curves for Probabilistic Password Models (2023)](https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=10179365) - [Improving Real-world Password Guessing Attacks via Bi-directional Transformers (2023)](https://www.usenix.org/conference/usenixsecurity23/presentation/xu-ming) - [Mangling Rules Generation With Density-Based Clustering for Password Guessing (2023)](https://annas-archive.pk/scidb/10.1109/tdsc.2022.3217002/) - [No Single Silver Bullet: Measuring the Accuracy of Password Strength Meters (2023)](https://www.usenix.org/system/files/usenixsecurity23-wang-ding-silver-bullet.pdf) - [Optimizing The Computation Of Password Hashes (2023)](https://helda.helsinki.fi/server/api/core/bitstreams/23a37f74-a162-4473-b894-5da77f0627d1/content) - [PGTCN: A Novel Password-Guessing Model Based On Temporal Convolution Network (2023)](https://annas-archive.pk/scidb/10.1016/j.jnca.2023.103592/) - [Towards a Rigorous Statistical Analysis of Empirical Password Datasets (2023)](https://ieeexplore.ieee.org/document/10179431) - [Enhancing The Resistance Of Password Hashing Using Binary Randomization Through Logical Gates (2024)](http://doi.org/10.11591/ijece.v14i5.pp5400-5407) - [GuessFuse: Hybrid Password Guessing With Multi-View (2024)](https://ieeexplore.ieee.org/document/10466588) - [PassRVAE: Improved Trawling Attacks via Recurrent Variational Autoencoder (2024)](https://dl.acm.org/doi/10.1145/3673277.3673295) - [Prob-Hashcat: Accelerating Probabilistic PasswordGuessing with Hashcat by Hundreds of Times2024)](https://dl.acm.org/doi/epdf/10.1145/3678890.3678919) - [Reinforcing Cybersecurity With Bloom Filters: A Novel Approach To Password Cracking Efficiency (2024)](https://doi.org/10.1186/s13635-024-00183-2) - [Beyond The Dictionary Attack: Enhancing Password Cracking Efficiency Through Machine Learning-Induced Mangling Rules (2025)](https://doi.org/10.1016/j.fsidi.2025.301865) - [MAYA: Addressing Inconsistencies in Generative Password Guessing through a Unified Benchmark (2025)](https://arxiv.org/abs/2504.16651) - [Password Guessing Using Large Language Models (2025)](https://www.usenix.org/system/files/usenixsecurity25-zou-yunkai.pdf) - [PassRecover: A Multi-FPGA System for End-to-End Offline Password Recovery Acceleration (2025)](https://doi.org/10.3390/electronics14071415) - [When Intelligence Fails: An Empirical Study on Why LLMs Struggle with Password Cracking (2025)](https://arxiv.org/abs/2510.17884) - [Success Rates Doubled with Only One Character: Mask Password Guessing (2025)](https://doi.org/10.14722/ndss.2026.241059) - [PGMaP: Password Generation Based On Mask Prediction (2026)](https://linkinghub.elsevier.com/retrieve/pii/S0957417426002319) - [Improving targeted password guessing attacks by using personally identifiable information and old password (2026)](https://doi.org/10.1186/s42400-025-00430-0) ### 演讲 - [BSides Cayman Islands 2024 - No Cap Cracking: Improving Offline Hash Recovery Methodologies](https://jakewnuk.com/static/No%20Cap%20Cracking%20Improving%20Offline%20Hash%20Recovery%20Methodologies.pdf) - [BSides Cayman Islands 2023 - Leveling Up Password Attacks with Breach Data](https://jakewnuk.com/static/Leveling%20Up%20Password%20Attacks%20with%20Breach%20Data.pdf) - [DEF CON Safe Mode Password Village - Getting Started with Hashcat](https://www.youtube.com/watch?v=MBTJ8f6Fsmg) - [DEF CON Safe Mode Password Village - Jeremi Gosney - Cracking at Extreme Scale](https://www.youtube.com/watch?v=4Ell1Tt23NI) - [DEF CON 28 Safe Mode Password Village – 'Let's Crack RockYou Without Using rockyou txt'](https://www.youtube.com/watch?v=8FtXntEsZdU) - [SecTor 2019 - Will Hunt - Hashes, Hashes Everywhere, But All I See Is Plaintext](https://sector.ca/sessions/hashes-hashes-everywhere-but-all-i-see-is-plaintext/) - [Tailored, Machine Learning-driven Password Guessing Attacks and Mitigation at DefCamp](https://www.youtube.com/watch?v=iK6ZbD6v9Gg) - [UNHash - Methods for better password cracking](https://media.ccc.de/v/31c3_-_5966_-_en_-_saal_1_-_201412292245_-_unhash_-_methods_for_better_password_cracking_-_tonimir_kisasondi) - [USENIX Security '23 - No Single Silver Bullet: Measuring the Accuracy of Password Strength Meters](https://www.youtube.com/watch?v=0vhoAaqGYV8) - [USENIX Security '23 - Improving Real-World Password Guessing Attacks via Bi-Directional Transformers](https://www.youtube.com/watch?v=kE7dEUcPtU0) - [USENIX Security '21 - Reducing Bias in Modeling Real-world Password Strength via Deep Learning and Dynamic Dictionaries](https://www.youtube.com/watch?v=Jvp3UTdCeag) - [USENIX Security '16 - Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks](https://www.youtube.com/watch?v=GgaZ_LxsL_8)

标签：Apex, Bitdefender, DOS头擦除, Hashcat, John the Ripper, PoC, VEH, 人工智能安全, 反病毒测试, 合规性, 字典攻击, 密码分析, 密码学, 密码安全, 密码破解, 彩虹表, 手动系统调用, 暴力破解, 机器学习, 漏洞利用检测, 网络安全, 请求拦截, 逆向工具, 隐私保护