La plupart des utilisateurs d’applications Web ne suivent pas les recommandations d’utilisation de données d’accès difficiles et non dictionnaires. Ils fondent souvent leurs slogans sur des mots et des phrases qu’ils n’oublieront pas facilement. Ces mots sont les noms des enfants, les adresses des rues, l’équipe de football préférée, le lieu de naissance, etc.Comptes d’utilisateurs – particulièrement administratifs devraient être protégés par des données d’accès difficiles à deviner.
Pour tester si les données d’accès ne sont pas trop faciles à deviner, vous pouvez utiliser l’outil hydra ainsi qu’une liste spécialement préparée des mots de passe d’accès les plus populaires, tels que rockyou.txt. Hydra est un outil qui, de manière égale, prend en charge plusieurs threads en même temps, peut tenter automatiquement de se connecter aux ressources réseau. Il prend en charge de nombreux protocoles tels que Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. Il est très rapide et flexible dans son fonctionnement. Il permet de définir la periode des requêtes pour éviter le blocage. Il vous permet également d’ajouter de nouveaux modules. Dans Ubuntu, vous pouvez l’installer à partir du gestionnaire de paquets synaptic. Sous Kali Linux, il est déjà disponible par défaut.
La figure ci-dessous montre l’utilisation de l’outil hydra contre une application utilisant des données d’accès faciles.
Fig. Exemple d’utilisation de l’outil hydra contre une application testée. Source: [Auto-élaboration]