在哪里可以find不良密码的列表？

如果客户要求检查已知的不良密码列表，那么我可能会要求他们提供他们认为不好的密码列表。 如果他们不能提供清单，那么我会按照其他人的build议去使用密码复杂性规则。

旧的Unix“破解”工具是不是附带一个通用密码列表？ 我相信它有暴力和字典的方法。

我认为这个客户需要被打败一点。 🙂

令人讨厌的是，我可以理解，甚至同情他们来自哪里。 但是这个要求只会导致长期的悲哀和麻烦（例如，我可以看到，未来对“已知通用密码”列表的未来要求每年更新一次，甚至更频繁）。 已知密码复杂性要求在现场工作，即使是最基本的复杂性要求（例如大写，小写，数字或符号中的任意三个）也将自动排除绝大多数字典单词。

另一个破坏交易者是，很多人会使用他们熟悉的东西作为密码。 例如，一个社会安全号码可能会满足复杂性要求（数字，字母和连字符，也许），肯定不会在任何假设的“已知通用密码”列表中，但也是不安全的这是一个潜在的黑客可能会尝试的事情之一（假设他们知道或有办法获得它）。

我曾经使用过的一个在线服务通过测量多个因素的组合来衡量密码安全性：密码中每种字符有多less个，密码的总数是多less。 即时的反馈是给出的，所以你可以很好地感觉你的密码是否被认为是好的或不是基于他们的指标。 这样的做法似乎比我更可取。

也有吸引力的是使用OpenID或Microsoft Passport等服务（或本周所谓的任何服务），而不是实施自己的服务。 我非常怀疑那些需要用户单独login所有访问的服务的服务。 主要的风险是，用户有这么多的用户名/密码组合，记住他们最终会写下来，而且他们最终会使用相同的用户名和密码，所以，如果一个 – 所有它采取的是一个 – 得到妥协，他们都有效地妥协。 最弱的链接规则适用于这里的旋钮。 跟一个在这方面专业的提供者一起工作是一件好事（你可以专注于你的服务的细节，你有一个已知的authentication机制，等等）。

大多数人使用这种types的东西的词典单词列表。 我不能保证这些清单有多好，但是这里有一些

如果你只是谷歌“字典单词列表”，你应该得到一堆结果。

为什么不只是执行良好的密码政策。 至less8个字符，混合情况，至less1个数字和1个非字母数字字符。 除此之外，还有一些可以比较密码的好词典。

不要使用静态列表。 考虑运行开膛手约翰，看是否太简单了。

约翰开膛手

我同意只是有一个强大的密码政策可能是一个更好的主意。

如果我真的想实现你所说的话，我想你会需要find一些好的字典。 然后，您将希望从该字典中的变体生成所有哈希，然后检查它们对该列表的哈希。 这被称为彩虹表 ，在攻击世界中，被称为时间记忆折衷。 如果不这样做，服务器上的检查将会花费太长时间。

更好的做法可能是使用一个工具，从填写表单的信息中生成一串不好的密码。 看到CUPP作为一个例子python程序，这样做。

如果可能的话，不要试图使用不良密码列表，而是使用系统上可用的任何方法强制密码复杂性。 如果你仍然想要密码破解者使用的字典列表寻找坏密码列表。

悲伤的故事，但我最好的密码清单是我检查我的服务器得到妥协时得到的。

L0phtcrack，我相信带有一个首先尝试的密码列表，同样，你可以看看Conficker.B的一些分析，它也有一个列表，尽pipe很短的一个密码。

忽略这个事实并不是一个非常好的安全解决scheme（正如其他人在他们的答案中所陈述的那样），我会回答你所问的问题（一个普通和错误的密码列表）。

我发现这个' 500通用密码 '的清单非常有见地。

你可以用这个脚本得到单词列表，除了一个重复的'0'密码我不禁要parsing：

curl -s http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time | sed -n -e '/\(^<td>\(1\?[0-9]\?[0-9]\)<\/td>\|NO\|Top.*\)/d' -e 's/^<td>\(.*\)<\/td>/\1/p'