La maggior parte degli utenti di applicazioni Web non segue i consigli per l'utilizzo di dati di accesso difficili e non dizionario. Spesso basano le loro password su parole e frasi che facilmente non dimenticheranno. Queste parole sono nomi di bambini, indirizzi di strada, squadra di calcio preferita, luogo di nascita, ecc.Account utente: in particolare gli account amministrativi devono essere protetti con dati di accesso difficili da indovinare.
Per verificare se i dati di accesso non sono troppo facili da indovinare, è possibile utilizzare lo strumento hydra insieme a un elenco appositamente preparato delle password di accesso più popolari, ad esempio rockyou.txt. Hydra è uno strumento che, in modo equilibrato, supporta più thread contemporaneamente, tenta automaticamente di accedere alle risorse di rete. Supporta molti protocolli come Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. Nel suo funzionamento è molto veloce e flessibile. Consente di impostare un periodo di query per evitare il blocco. È inoltre possibile aggiungere nuovi moduli. Su Ubuntu, puoi installarlo dal gestore di pacchetti sinaptici. Su Kali Linux, è già disponibile per impostazione predefinita.
La figura seguente mostra l'uso dello strumento hydra contro un'applicazione che utilizza dati di facile accesso.
caratteristico. Esempio di utilizzo dello strumento hydra contro l'applicazione in fase di test. Fonte: [Studio personale]
