V minulém příspěvku Úvod do hádání hesel jsme rozlišovali uživatelské, aplikační a systémové účty. Dnes prozkoumáme jejich dostupné slovníky.

Slovníky uživatelských hesel

Slovníky s hesly uživatelů vycházejí z historických dat nejčetnějších hesel nebo se jedná o slovníky zaměřené na jazyk, profesi, žánr a další oblasti.

Projekt OWASP SecLists agreguje různé slovníky, které jsou užitečné při penetračním testování. V repozitáři tohoto projektu SecLists (GitHub) nalezneme podadresář Passwords, který obsahuje kolekci nejpoužívanějších hesel. Slovník má celkem 10 milionů záznamů a je rozdělen na části podle četnosti.

Na portále PacketStormSecurity (wordlist) najdeme slušnou porci starších slovníků klasifikovaných podle jazyka, náboženství, seznamu jmen, příjmení, názvů postav, jmen psů nebo názvů hudebních skupin.

Implicitní účty a hesla

Implicitní hesla (Default passwords) přednastavených aplikačních a systémových účtů jsou často zdokumentována přímo výrobcem.

Projekt Chrise Sulla Default Passwords (CIRT.net) mapuje tato přednastavená hesla. Databázi nelze přímo stáhnout ve formě slovníku, ale je možné použít výsledky vyhledávání a sestavit slovník ručně.

Druhý zajímavý projekt je FuzzDB (GitHub), který se snaží agregovat seznamy a slovníky, které pomáhají detekovat chyby v aplikacích. Jeden z adresářů tohoto projektu patří aplikačním účtům a heslům, najdeme zde slovníky k databázím DB2, Oracle, PostgreSQL, web serveru Tomcat, OS Unix a nakonec pár uživatelských slovníků.

Závěr

V tomto příspěvku jsme se seznámili s projekty, které udržují slovníky „top uživatelských hesel“ (SecLists) nebo hesla k přednastaveným účtům (Default Passwords, FuzzDB). Zmínili jsme také portál PacketStormSecurity a jeho sekci s klasifikovanými slovníky.