正如古老的格言所说，“重要的不是你的单词列表的大小，而是你如何使用它。 ”以及你使用的。我将为您提供一些提示。

有关与我的建议相关的密码列表和非密码单词列表，请参阅SkullSecurity、KoreLogic和Openwall。提到的泄漏都来自 SkullSecurity。或者，您可以寻找漏洞并将其用作基础，随着时间的推移制定好的列表。查看pastebinleaks的 twitter 提要并密切关注新闻并追查已宣布的泄漏，尤其是在纯文本时。即使某些泄漏是纯哈希并且您需要破解它们，它仍然可以让您了解在野外使用的内容并帮助您评估密码列表的价值。

关于建议。

• 选择与目标用户群相关的单词列表
  • 与您的目标类似的密码泄露（例如 Faithwriters、Hak5、Ultimate Strip Club List）
  • 相关主题（运动队和术语、俚语、城市/城镇名称）
  • 相关语言（例如Älypää泄漏、外国词典、外国维基百科）
• 生成你自己的！
  • 抓取目标的网站
  • 剥离然后对已经破解的密码使用修改规则
  • 查找已破解密码的趋势，并找到绝对相似的来源（或生成密码）
• Mangle 通用列表
  • 查看 JtR 的默认修改规则和 KoreLogic 发布的规则以获取灵感
  • 名单。名字首字母姓氏，名字姓氏首字母，名字，姓氏
  • 编写符合您在已破解密码中看到的模式的修改规则
  • 随机的普通东西列表（例如电话号码）
• 完全不要使用列表
  • 马尔可夫链（见 JtR Jumbo）
  • JtR 默认增量模式
  • 其他概率的东西
  • 遍历 1 位到您可以处理的最高位之间的所有数字组合
  • 如果使用未加盐的密码，请使用 Rainbow 表
• 懒惰并使用像 RockYou 这样的通用泄漏
• 考虑密码策略
  • 排除密码策略之外的猜测
  • 通过对破解密码的分析了解密码策略是什么
• 意识到模式可能只是你的想象或由你的策略创造
• 想想你没有尝试过哪些键空间和策略

总之：

• 密码列表不是一切
• 学习编写良好的修改规则
• 分析你破解了什么
• 使用脚本即时生成常见模式
• 创建自己的单词列表
• 选择相关列表

我为此找到的最好的网站是SkullSecurity。它确实有大量的密码。有些是在真正的攻击中泄露的，所以它们是最近的。

另请查看http://g0tmi1k.blogspot.com/2011/06/dictionaries-wordlists.html

我刚刚找到了一个好看的来源：

https://sites.google.com/site/magyarinformatikus/dictionary-wordlist

只需对字典中的各种密码使用“fgrep”来测试质量。最高密码在它的开头（我假设是慢散列）。

看起来很多东西都进入了这个有 3 001 834 125 行、40 GBytes 的词表。压缩：6.5 GB。