Attaque par dictionnaire — Wordlists

Cracking Offline

Principe

L'attaque par dictionnaire essaie tous les mots d'une liste (wordlist) et compare leur hash au hash cible. Beaucoup plus rapide que le brute force car exploite les habitudes humaines : les gens utilisent des mots réels, des noms, des dates.

Wordlists recommandées

rockyou.txt           : 14M passwords réels (fuites)
SecLists/Passwords/   : collection massive
weakpass.com          : très grosses listes

# Générer une wordlist ciblée
cewl https://target.com -d 3 -m 5 -w target_words.txt
# Ajouter des variations avec rules
hashcat ... -r rules/best64.rule  # capitalisation, substitutions

Règles de transformation

# Exemples de règles hashcat :
c    = capitaliser (password -> Password)
$1   = ajouter "1" à la fin
sa@  = remplacer a par @
r    = inverser (password -> drowssap)

# Règles combinées = exponentiellement plus de candidats
hashcat -a 0 -m 1000 hash.txt rockyou.txt \
  -r rules/best64.rule -r rules/toggles1.rule