PassGAN
PassGAN 是一个基于深度学习的密码猜测工具,利用生成对抗网络(GAN)从已泄露的密码数据中学习密码的分布规律,并生成高度逼真的新密码。它旨在解决传统密码破解方法(如规则组合或字典攻击)覆盖不足的问题,尤其擅长捕捉用户设置密码时的复杂模式和偏好。PassGAN 适合安全研究人员、密码学爱好者及红队人员使用,可用于评估密码策略强度或辅助渗透测试中的凭证爆破。其核心技术源自改进版 Wasserstein GAN(WGAN-GP),通过对抗训练让生成器学会模拟真实密码的结构特征。项目提供了在知名 RockYou 数据集上预训练的模型,用户也可用自己的泄露数据重新训练。需要注意的是,尽管 PassGAN 能生成大量有效候选密码,但有研究指出其效果可能不如某些基于 RNN 或马尔可夫链的传统方法,因此更适合用于探索性研究或作为多策略组合中的一环。
使用场景
某网络安全公司正在为一家金融机构开展渗透测试,需评估其用户密码策略的强度,以发现弱口令风险。
没有 PassGAN 时
- 只能依赖传统字典攻击(如 rockyou.txt)或规则生成器(如 Hashcat 的 rule-based 模式),覆盖范围有限,难以模拟真实用户复杂的密码习惯。
- 手动编写规则耗时且依赖专家经验,面对新型密码模式(如“单词+年份+符号”组合)容易遗漏。
- 使用 Markov 或 RNN 等旧方法需自行实现模型、调参和训练,开发成本高,且效果不稳定。
- 生成的候选密码多样性不足,在大规模测试中命中率偏低,影响漏洞发现效率。
- 难以快速适配客户特定行业的密码特征(如金融用户偏好数字结尾),缺乏定制化能力。
使用 PassGAN 后
- 直接加载预训练模型(如基于 RockYou 的 checkpoint),几分钟内即可生成百万级高质量、贴近真实分布的密码样本。
- 无需人工设计规则,PassGAN 自动学习并复现人类设置密码的隐含模式,显著提升猜测命中率。
- 若有客户历史泄露数据(脱敏后),可快速微调训练专属模型,精准匹配该机构用户的密码风格。
- 生成的密码具备高度多样性与合理性,在相同测试规模下破解成功率提升近 24%(参考论文复现结果)。
- 命令行接口简洁,集成到现有渗透测试流程(如配合 John the Ripper 或 Hashcat)几乎零成本。
PassGAN 将深度学习能力转化为实用的密码猜测武器,让安全团队以更低的成本、更高的精度识别弱口令风险。
运行环境要求
- Linux
- macOS
- Windows
需要 NVIDIA GPU(如 GTX 1080),CUDA 8
未说明
快速开始
PassGAN
本仓库包含论文 PassGAN: A Deep Learning Approach for Password Guessing 的相关代码。
PassGAN 所采用的模型源自论文 Improved Training of Wasserstein GANs,并假设 PassGAN 的作者在其工作中使用了 improved_wgan_training 的 TensorFlow 实现。因此,我在本仓库中对该参考实现进行了修改,使其更便于训练(train.py)和采样(sample.py)。本仓库的主要贡献包括:
- 命令行接口(command-line interface)
- 一个在 RockYou 数据集上预训练好的 PassGAN 模型
快速开始
# 需要预先安装 CUDA 8
pip install -r requirements.txt
生成密码样本
使用预训练模型生成 1,000,000 个密码,并保存到 gen_passwords.txt。
python sample.py \
--input-dir pretrained \
--checkpoint pretrained/checkpoints/195000.ckpt \
--output gen_passwords.txt \
--batch-size 1024 \
--num-samples 1000000
训练你自己的模型
在大型数据集(100MB+)上训练模型,在 GTX 1080 上可能需要数小时。
# 下载 RockYou 训练数据
# 包含完整 RockYou 密码的 80%(含重复项)
# 且长度不超过 10 个字符
curl -L -o data/train.txt https://github.com/brannondorsey/PassGAN/releases/download/data/rockyou-train.txt
# 训练 200000 次迭代,每 5000 次保存一次检查点
# 使用论文中的默认超参数
python train.py --output-dir output --training-data data/train.txt
我们鼓励你使用自己的密码泄露数据集进行训练。以下是一些获取此类数据集的优质来源:
- LinkedIn 泄露数据(压缩后 1.7GB,直接下载。镜像来自 Hashes.org)
- Exploit.in 种子(10GB+,包含 8 亿账户信息,臭名昭著!)
- Hashes.org:一个出色的共享密码恢复网站。如果你有能力,不妨考虑捐赠支持 ;)
结果
我尚未对复现 PassGAN 论文结果的工作进行详尽分析。不过,使用在 RockYou 上预训练的模型生成 10⁸ 个密码样本时,在 80%/20% 的训练/测试划分下,我成功匹配了测试集中 630,347 个(23.97%)唯一密码。
总体而言,我对 PassGAN 的作者在论文中引用了机器学习密码生成领域的先前工作,却未将其结果与该研究进行比较感到有些惊讶(也有些失望)。我初步使用 PassGAN 的经验让我认为,其性能可能远不如该论文中提到的基于 RNN 和马尔可夫(Markov)的方法,也希望作者并非出于这一原因而选择不进行结果对比。
归属与许可
本代码以 MIT 许可证 发布。你可以根据该许可证自由地使用、修改、分发或销售。
本仓库中大部分代码应归功于 @igul222 在 improved_wgan_training 项目上的工作。我只是对其代码做了一些模块化调整,添加了命令行接口,并针对 PassGAN 论文进行了专门适配。
PassGAN 的研究与论文 由 Briland Hitaj、Paolo Gasti、Giuseppe Ateniese 和 Fernando Perez-Cruz 发表。
版本历史
data2017/12/20常见问题
相似工具推荐
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
NextChat
NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。