Como posso testar senhas em uma lista de dicionário / palavra, onde as entradas foram fuzzed em algum grau?
Por "fuzzed", quero dizer variantes de palavras com conversões "l33t" e outras conversões de caracteres estão incluídas no cheque.
Idealmente, gostaria de passar um valor de senha, fazer com que o utilitário verifique a senha e retornar um valor sim / não.
John the Ripper possui modos que podem ser usados para testar a força da senha em uma lista difusa. Ele suporta a criação de suas próprias regras de difusão e usa os dicionários fornecidos. Ele vem por padrão com um grande conjunto de regras comuns de difusão instaladas, incluindo 1337 transformação, troca de palavras, duplicação, letras maiúsculas, acréscimo de número / símbolo simples, etc.
Se você pesquisar no Google por sua senha e encontrar um resultado, você terá escolhido uma senha fraca. NINGUÉM deve saber sua senha, mesmo que ela não saiba que é sua.
Para testar sistemas remotos para senhas fracas, eu recomendo THC-Hydra . Eu usei este software em testes de penetração com grande sucesso.
O JTR só se aplica a hashes, se você quiser fazer um pouco mais de um 'teste de penetração' pela rede. Hydra por THC é amplamente conhecido cracker de senha de rede (Mas note, com todas as extensões, você estará esperando um tempo muito longo para encontrar até mesmo as senhas mais simples).