Concours de la plus grosse... wordlist !

Pour tout vous dire je fais actuellement des expérimentations en matière de cassage de mots de passe. Alors après la théorie, la pratique !

Comme je l'indiquais en conclusion de mon article sur les rainbow tables, ce qui compte maintenant c'est un dictionnaire de vrais mots de passe représentatifs qui permet avec une liste limitée de mots de tester un échantillon de mots de passe possibles bien plus pertinant que d'enchaîner a, b, c, aa, ab, ac...

Historiquement j'avais récupéré le dico de John The Ripper, le dictionnaire de la langue française et d'autres langues. Puis j'ai commencé à récupérer des listes d'acteurs célèbres... Enfin un gros tas de listes assez limitées. Puis est arrivée la mode des leaks (par exemple là) et un jour la liste RockYou est tombée et a changé le monde.

Finalement on a découvert que sans politique de mot de passe 30% des gens choisissent un mot de passe de 1 à 6 caractères (voir pipal)... Pas la peine de tester "JenniferAniston"...

Les gens ont alors commencé à rassembler des bases de mots de passe leakés et à jouer à qui aura la plus grande !

Voici quelques listes et leur taille compressée (et décompressée) :

• John The Ripper : 10ko
• Abel & Cain : 1Mo
• Ultimate password list : 15Mo
• RockYou : 60Mo
• Crakstation : 4,2Go (15Go)
• B0n3z wordlist : 25Go (127Go)

La dernière est sortie le 2 avril dernier (vue sur LinkedIn). J'ai cru à une blague en retard, mais il semble que non... Je n'ai pas encore eu le temps de la tester, mais j'ai peur qu'elle ne fasse pas beaucoup mieux que Crackstation avec des règles de dérivation hashcat qui généreraient une liste 1 000 ou 10 000 fois plus grosse.