berzerk0/Probable-Wordlists

# Probable Wordlists - 版本 2.0 __你知道世界上最常见的密码是什么吗？
你知道它们长什么样吗？
为了安全起见，你肯定会想避开它们！__
### 考虑克隆？ 这个代码库不包含代码，而是包含指向一组列表的链接。
__*获取你所需的文件可能并不需要克隆整个仓库*.__
访问 __[下载](Downloads.md)__ 页面了解更多信息。  #### 查看 [密码趋势分析](https://github.com/berzerk0/GitPage/wiki/Actionable-Password-Advice-Based-on-the-Probable-Wordlists) - 来学习吧！ 我将 __版本 1__ 文件中出现过 10 次及以上的密码趋势进行了可视化。 这些图表包含了关于如何让你的密码更具独特性的*直接可操作*建议。 ## 方法论：原因与方式 ### 原因 密码字典并不难找。似乎每隔几周，我们就会听到关于大规模、破纪录的数据泄露事件，数以百万计的凭证散落在互联网上供所有人查看。如果我们的数据被泄露了，我们会更改密码，辛勤工作的安全团队将解决漏洞，然后每个人都会等待直到听到下一次泄露事件。 虽然泄露可能是出于恶意发布的，但我认为这是我们让自己在网络世界上变得更安全的一个机会。 密码从定义上讲，就是用来保密的。如果不是因为这些泄露，我们可能根本不知道密码长什么样。当然，我们可能知道朋友家 Wi-Fi 的密码，或者是公司费用账户的密码，但密码通常只打算让用户和身份验证系统知道。 但是，请考虑这一点：
如果你永远不应该告诉我你的，而我也永远不会告诉你我的...
__我们怎么知道我们没有在使用相同的密码？__
__我们怎么知道我们没有和*数百万*的其他人使用相同的密码？__ 如果只有坏人了解常见的密码长什么样，那么我们其他人可能永远不会去更改密码！如果没有这些知识，我们可能只会继续相信我们的密码是独一无二的。数据显示，很多时候密码绝对*不是*独一无二的。 这一点年复一年地得到证实，因为 `password` 已经第无数次被发现位居前三大密码之列。在我们了解常见密码长什么样之前，我们总会想出那些出现在几十次泄露事件中的密码。 如果你的任何密码已经在互联网上公布，让所有人都看到了，那么你还能声称它是 __*你的*__ 密码吗？ ## 方式 在研究密码字典时，我注意到大多数字典要么按字母顺序排序，要么根本不排序。这对于计算机分析来说可能没问题，但我想了解一些关于人们思考方式的东西。 我认为，为了进行最实用的分析，列表的排序方式必须反映 __真实的人类行为__，而不是任意的字母系统或随机的时间顺序。 在大半年的时间里，我访问了 SecLists、Weakpass 和 Hashes.org 等网站，下载了我能找到的几乎每一个包含真实密码的字典。在尝试删除无关信息后，这次收集产生了 1600 个文件，包含超过 350GB 被泄露的密码。 对于每个文件，我删除了内部的重复项，并确保它们都使用相同样式的换行符。其中一些列表由较小的列表组成，一些列表是完全相同的副本，但我确保原始材料尽可能“纯粹”。然后，所有文件被合并成一个单一的集合体，代表了所有的源文件。 在这个文件中，每次发现一个密码就代表在原始材料中发现了一次。__我将一个密码在所有文件中被发现的次数视为其整体受欢迎程度的近似值。__ 如果一个条目在少于 5 个文件中被发现，说明它并不常用。但是，如果一个条目在超过 350 个文件中被发现，它就非常受欢迎。在最多源文件中发现的密码被认为是最受欢迎的，并被放置在列表的顶部。不频繁出现的文件被放置在底部。 庞大的源文件代表了近 *130 亿个密码！* 然而，由于该项目的目标是找到最受欢迎的密码，而不是仅仅列出我能找到的尽可能多的密码，__一个密码需要在分析中被发现至少 5 次才能被包含在这些列表中。__ 最终结果是一个包含约 __*20 亿*__ 真实密码的列表，按其受欢迎程度排序，而不是按字母表排序。 ## 此代码库中的目录
__按受欢迎程度排序的文件将在文件名中包含 `probable-v2`__ ### [Real-Passwords](Real-Passwords) 这些是 __真实__ 的密码。 此文件夹中的文件来自 、 和 等网站。 某些文件包含长度在 8-40 个字符之间的条目。可以在 [Real-Passwords/WPA-Length](Real-Passwords/WPA-Length) 目录中找到这些文件。 ### [Dictionary-Style 列表](Dictionary-Style) 包括字典、百科列表和杂项文件。此文件夹中的字典不一定与 *“密码”* 标签相关联。 包括一些技术上实用的列表，例如常见用户名、tlds、目录等。 ### [分析文件](Analysis-Files) 用于密码恢复和分析的文件。包含 HashCat 规则和字符掩码。 这些文件是使用 [PACK](https://github.com/iphelix/pack) 项目生成的。 ## 致谢 * [Ian Norden](https://github.com/iancnorden) 协助处理重复项并自愿抽出时间，让我变得不那么菜鸟 * [OWASP 的 SecLists](https://www.owasp.org/index.php/Projects/OWASP_SecLists_Project) 团队提供来源和灵感 * [Weakpass](https://weakpass.com/)、[Crackstation](https://crackstation.net/)、[Hashkiller](https://hashkiller.co.uk/) 和 [Hashes.Org](https://hashes.org/) 等来源提供的灵感和列表。 ### 人们在讨论 Probable-Wordlists？！ *请注意，作者不隶属于以下任何链接，也未正式背书访问这些链接。* 我通过在各种搜索引擎中简单地搜索该项目，发现了这些提及中的大部分（如果不是全部的话） * [Netmux/Joshua Picolet 的 __Hashcrack 2.0__](https://www.amazon.com/Hash-Crack-Password-Cracking-Manual/dp/1975924584/ref=sr_1_fkmr0_1?ie=UTF8&qid=1517462487&sr=8-1-fkmr0&keywords=hashcrack+2.0) - CreateSpace Independent Publishing Platform; 第 2 版 (2017 年 9 月 1 日) - ISBN: 978-1975924584 * Probable-Wordlists 登上了 [__Security Now Podcast__!](https://youtu.be/DC3RsyrCYfw?t=1h8m7s) 向 Steve Gibson 和 Leo Laporte 致敬！ * [传奇的 AIRCRACK!](https://www.aircrack-ng.org/doku.php?id=faq) * [同样传奇的 L0phtcrack 上的置顶推文!](https://twitter.com/L0phtCrackLLC/status/874266579516747777) * [Centrify 的 Ben Rice](https://blog.centrify.com/do-you-know-how-easy-is-it-to-guess-your-password-hint-you-dont-want-to-read-this/) 感谢你们的提及！ ## 免责声明和许可证 + 这些列表仅用于合法、道德和教育目的。 + 此代码库中包含的文件按“原样”发布，不提供任何保证、支持或有效性的保证。 + *但是，我愿意听取有关这些文件中发现的任何问题，并将在可预见的未来积极维护此代码库。如果你发现任何值得注意的内容，请告诉我，我会看看我能做些什么。* 作者没有以任何方式通过窃取、网络钓鱼、欺骗或黑客攻击来获取这些密码。 这些文件中的所有行均通过免费可用的手段获得。 作者本项目的意图是提供有关不安全密码的信息，以提高整体密码的安全性。这些列表将向你展示哪些密码最常见，哪些模式最常见，以及在创建自己的密码时应该避免什么。 [](http://creativecommons.org/licenses/by-sa/4.0/) __本作品采用 [Creative Commons Attribution-ShareAlike 4.0 International License.](https://creativecommons.org/licenses/by-sa/4.0/) 进行许可。__
## 享受吧！

标签：DOS头擦除, Probable-Wordlists, 反取证, 安全测试, 安全评估, 密码字典, 密码学, 密码安全, 密码破解, 弱口令, 手动系统调用, 攻击性安全, 概率分析, 流行密码, 网络安全, 隐私保护, 黑客字典