Większość użytkowników aplikacji internetowych nie stosuje się do zaleceń stosowania trudnych, nie słownikowych danych dostępowych. Często opierają swoje hasła na słowach i frazach, których łatwo nie zapomną. Słowa te to imiona dzieci, adresy ulic, ulubiona drużyna piłkarska, miejsce urodzenia itp. Konta użytkowników – szczególnie administracyjne powinny być chronione za pomocą trudnych do odgadnięcia danych dostępowych.
Do testowania, czy dane dostępowe nie są zbyt łatwe do odgadnięcia można posłużyć się narzędziem hydra wraz z specjalnie przygotowaną listą najpopularniejszych haseł dostępowych np. rockyou.txt. Hydra jest narzędziem, który w sposób zrównoleglony, obsługując kilka wątków jednocześnie potrafi w sposób automatyczny podejmować próby logowania do zasobów sieciowych. Obsługuje wiele protokołów takich jak na przykład Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. W swoim działaniu jest bardzo szybki i elastyczny. Pozwala on na ustawienie periodu zapytań w celu uniknięcia zablokowania. Umożliwia także dodawanie nowych modułów. W systemie Ubuntu można go zainstalować z menedżera pakietów synaptic. W systemie Kali Linux jest on już domyślnie dostępny.
Na rysunku poniżej zaprezentowane jest użycie narzędzia hydra przeciwko aplikacji używającej łatwych danych dostępowych.
![Przykład użycia narzędzia hydra przeciwko testowanej aplikacji](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_305/https://my127001.pl/wp-content/uploads/2018/12/hydra-1024x305.png)
Rys. Przykład użycia narzędzia hydra przeciwko testowanej aplikacji. Źródło: [Opracowanie własne]