Die meisten Nutzer von Webanwendungen folgen nicht den Empfehlungen für die Verwendung schwieriger, nicht Wörterbuch-Zugriffsdaten. Sie stützen ihre Passwörter oft auf Wörter und Phrasen, die sie leicht nicht vergessen werden. Diese Worte sind Kindernamen, Straßenadressen, Lieblingsfußballmannschaft, Geburtsort usw.Benutzerkonten – Insbesondere administrative Konten sollten durch schwer zu erratende Zugriffsdaten geschützt werden.
Um zu testen, ob die Zugangsdaten nicht zu leicht zu erraten sind, können Sie das Hydra-Tool zusammen mit einer speziell erstellten Liste der beliebtesten Zugangskennwörter wie Rockyou.txtverwenden. Hydra ist ein Werkzeug, das in einer abgegrenzten Weise, die mehrere Threads gleichzeitig unterstützt, automatisch versuchen kann, sich bei Netzwerkressourcen anzumelden. Unterstützt mehrere Protokolle, z. B. Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. In seiner Wirkung ist es sehr schnell und flexibel. Es ermöglicht Ihnen, eine Abfragezeit festzulegen, um eine Sperrung zu vermeiden. Sie können auch neue Module hinzufügen. In Ubuntu können Sie es mit dem Synaptic-Paketmanager installieren. Unter Kali Linux ist es bereits standardmäßig verfügbar.
Die folgende Abbildung zeigt die Verwendung des Hydra-Werkzeugs gegen eine Anwendung mit einfachen Zugriffsdaten.
Abbildung. Beispiel für die Verwendung des Hydra-Tools gegen die getestete Anwendung. Quelle: [Eigene Entwicklung]
