Red Team Field NotesPentest · Adversary Simulation · Validation
Credentials et mots de passe

Hydra et audit en ligne

Audit de mots de passe avec données synthétiques, hashcat, John, Hydra et risques du credential dumping.

Différence

Hashcat/John travaillent hors ligne sur des hashes. Hydra teste une authentification réseau et peut verrouiller des comptes, saturer un service ou déclencher une réponse à incident.

Laboratoire local

Utilise un service de test sur 127.0.0.1, un utilisateur synthétique, une liste de quelques mots de passe et un seul thread. La syntaxe générale est :

hydra -l <lab_user> -P <tiny_lab_list> -t 1 <protocol>://127.0.0.1

En mission

Préférer une validation de politique, un compte canari et un nombre d’essais convenu. Exclure les comptes réels et critiques.

Points à mesurer

Arrêt

Stop immédiat au premier verrouillage inattendu, ralentissement ou impact utilisateur.

Autorisation requise

L’audit en ligne doit rester très limité. Une liste massive ou un grand parallélisme transforme un contrôle en attaque par force brute.

Références officielles