| Users re-use passwords for multiple services. |
Uživatelé často používají jedno heslo pro vícero služeb. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Pokud útočník získá přístup k jednomu serveru, kde najde seznam hesel, může tato hesla použít k útoku na ostatní služby. |
| Therefore, only password hashes may be stored. |
Proto se ukládají pouze tzv. otisky (hash) hesel. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Bezpečné hashovací algoritmy jsou snadno použitelné ve většině jazyků a zajišťují,že originální heslo nejde ze systému jednoduše vyčíst a také to, že není možné získat přístup na základě nesprávného hesla. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Tzv. solení hesel zabraňuje využití duhových tabulek (rainbow tables) a významně zpomaluje pokusy o útoky hrubou silou (brute-force). |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Posilování hesel zpomaluje jak offline útoky hrubou silou na ukradené hashe, tak online útoky hrubou silou v případě selhání omezení rychlosti (rate limiting). |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tímto se však zvyšuje zatížení CPU na serveru a pokud tomu není zabráněno pomocí omezení pokusů o přihlášení, otevře se také cesta pro DDoS útoky. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Dobře provedené posílení může zpomalit offline útok hrubou silou až 10 000 krát i více. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Omezení pokusů o přihlášení je nezbytné jako prevence proti online útokům hrubou silou a DoS útokům skrz využití CPU při procesu posilování hesla. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Bez tohoto omezení může útočník vyzkoušet velké množství hesel přímo na serveru. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Pokud předpokládáme 100 pokusů za vteřinu (což je standardní pro web server), žádné podstatné posílení bezpečnosti a útočníka, který pracuje s více vlákny, výsledkem by bylo 259 200 000 vyzkoušených hesel za měsíc. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Pokud nebudeme vynucovat žádné zásady hesel, budou uživatelé používat hesla jako "123456", "qwerty" nebo "password". Výsledkem bude náchylnost systému k útokům. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Vynucování příliš striktních zásad hesel bude mít za následek, že si je budou uživatelé psát na papírky, budou otrávení a budou užívat stejná hesla pro více služeb. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Dále také uživatelé, kteří používají hesla, která nejsou v souladu se zásadami mohou vymýšlet hesla, která se hůře pamatují, nejsou ovšem nezbytně bezpečná. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Heslo složené z 5 spojených náhodně vybraných slov z malých písmen je výrazně bezpečnější než osmiznakové heslo složené z náhodných malých a velkých písmen, číslic a zvláštních znaků. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Vezměte toto v úvahu, pokud nemáte zavedeny zásady hesel, ale musíte je navrhnout. |
