密码爆破字典更新与优化指南

前言

密码爆破是渗透测试中常用的技术手段，其成功的关键在于字典的质量。随着用户安全意识的提升，传统的top100、top500等密码字典已逐渐失效。本文基于多个平台的泄露数据分析，提供了一套系统化的密码字典更新方法。

数据来源

作者收集并整理了以下五个平台的泄露数据，总计42,208,168条密码记录：

• 嘟嘟牛
• 7K7K
• 人人网
• CSDN
• 178游戏网

密码类型分析与提取方法

1. 键盘组合密码

特征分析：

• 常见于泄露密码top10中
• 由键盘上相邻按键组合而成（如"qwerty"、"1qaz2wsx"）

提取算法：

1. 建立键盘相邻键的映射关系（如<a,z>, <a,s>）
2. 遍历密码字符串中的每个字符
3. 检查每个字符与其后一个字符是否在映射关系中
4. 所有字符对都满足则判定为键盘组合密码

2. 拼音密码

特征分析：

• 中文用户常用（如"woaini"、"mima"）
• 需要拼音字典支持

提取方法：

• 使用字典树(Trie)算法进行匹配
• 需准备完整的拼音字典

3. 数字与字母混合密码

特征分析：

• 占全部密码数据的40%左右
• 符合多数网站的密码策略要求
• 非单一字符组成（如"abc123"、"pass123"）

数据处理流程

1. 数据清洗：从原始泄露数据中提取纯密码列
2. 分类提取：按上述三种类型分别提取密码
3. 频率统计：使用Linux命令排序

   sort test.txt | uniq -c | sort -rn
   

4. 字典生成：按频率生成top100、top500等不同规模的字典

成果与资源

作者已将处理结果开源在GitHub：

• 项目地址：https://github.com/huyuanzhi2/password_brute_dictionary

包含内容：

1. 键盘组合字典：

   • top100
   • top500
   • 完整版

2. 拼音字典：

   • top100
   • top500
   • 完整版

3. 字母数字混合字典：

   • top1000（因数据量过大，未提供完整版）

4. 处理脚本：

   • 包含所有分类算法实现

进阶建议

1. 基于密码策略生成字典：

   • 根据目标系统的密码策略动态调整字典
   • 例如：若策略要求"字母+数字"，则排除纯字母/数字组合

2. 组合优化：

   • 将不同类型密码组合使用
   • 考虑添加常见变体（如大小写替换、添加特殊字符）

3. 持续更新：

   • 定期收集新的泄露数据
   • 分析最新密码趋势

总结

有效的密码爆破依赖于高质量的字典。通过系统分析真实泄露数据，按密码类型分类并基于频率排序，可以显著提升爆破成功率。建议安全研究人员定期更新自己的密码字典库，并针对特定目标进行定制化优化。

注：本文所有技术仅限合法授权测试使用，请遵守相关法律法规。