La mayoría de los usuarios de aplicaciones web no siguen las recomendaciones para usar datos de acceso difíciles que no sean de diccionario. A menudo basan sus contraseñas en palabras y frases que fácilmente no olvidarán. Estas palabras son nombres de niños, direcciones de calles, equipo de fútbol favorito, lugar de nacimiento, etc.Cuentas de usuario: especialmente las cuentas administrativas deben protegerse con datos de acceso difíciles de adivinar.
Para probar si los datos de acceso no son demasiado fáciles de adivinar, puede usar la herramienta hydra junto con una lista especialmente preparada de las contraseñas de acceso más populares, por ejemplo, rockyou.txt. Hydra es una herramienta que, de forma equilibrada, admite varios subprocesos al mismo tiempo, intenta iniciar sesión automáticamente en los recursos de red. Soporta muchos protocolos tales como Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. En su funcionamiento es muy rápido y flexible. Le permite establecer un período de consulta para evitar el bloqueo. También puede agregar nuevos módulos. En Ubuntu, puede instalarlo desde el administrador de paquetes sináptico. En Kali Linux, ya está disponible por defecto.
La siguiente figura muestra el uso de la herramienta hydra contra una aplicación que utiliza datos de fácil acceso.
característica. Un ejemplo del uso de la herramienta hydra contra la aplicación que se está probando. Fuente: [Estudio propio]
