| Users re-use passwords for multiple services. |
Gebruikers hergebruiken wachtwoorden voor meerdere services. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Als een aanvaller toegang krijgt tot één server en een lijst met wachtwoorden kan verkrijgen, kan hij dit wachtwoord gebruiken om andere services aan te vallen. |
| Therefore, only password hashes may be stored. |
Daarom mogen alleen wachtwoordhashes worden opgeslagen. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Veilige hash-algoritmen zijn in de meeste talen eenvoudig te gebruiken, zorgen ervoor dat het originele wachtwoord niet gemakkelijk kan worden hersteld en dat verkeerde wachtwoorden niet ten onrechte worden geaccepteerd. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Het toevoegen van salts aan de wachtwoordhashes voorkomt het gebruik van rainbow tables en vertraagt de brute-force pogingen aanzienlijk. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Strengthening vertraagt zowel off-line brute-force aanvallen tegen gestolen hashes als online brute-force aanvallen in het geval dat de rate limiting faalt. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Het verhoogt echter de CPU-belasting van de server en zou een vector voor DDoS-aanvallen openen als dit niet wordt voorkomen door het limiteren van de aanmeldingspogingen. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Goede strenghtening kan offline brute-force aanvallen vertragen met een factor van 10000 of meer. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Het limiteren van inlogpogingen is nodig ter voorkoming van online brute-force aanvallen en DoS via het CPU gebruik van de wachtwoord strengtening procedure. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Zonder een limiet kan een aanvaller een groot aantal wachtwoorden van de server proberen te krijgen. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Uitgaande van 100 pogingen per seconde, wat redelijk is voor een normale webserver, kan zonder significante strengtening en met gebruik van meerdere threads, een aanvaller meer dan 259,200,000 wachtwoorden per maand uitproberen! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Het niet toepassen van een wachtwoordbeleid zal ertoe leiden dat te veel gebruikers "123456", "qwerty" of "wachtwoord" als wachtwoord kiezen, waardoor het systeem wordt opengesteld voor een aanval. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Het toepassen van een te streng wachtwoordbeleid zal gebruikers dwingen om wachtwoorden op te slaan of op te schrijven, het zal ze in algemeen irriteren en het hergebruik van hetzelfde wachtwoord voor alle services bevorderen. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Gebruikers die veilige wachtwoorden gebruiken die niet aan het beleid voldoen, kunnen geforceerd worden tot het gebruik van wachtwoorden die moeilijker te onthouden zijn, maar niet per se veiliger. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Een wachtwoord bestaande uit 5 aaneengeschakelde, willekeurig (!) gekozen kleine letterwoorden uit het woordenboek is aanzienlijk veiliger dan een wachtwoord van acht tekens bestaande uit gemengde letters, cijfers en leestekens. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Houd hier rekening mee als u geen wachtwoordbeleid te implementeren krijgt, maar uw eigen ontwerp moet maken. |
