| Users re-use passwords for multiple services. |
Muchos usuarios utilizan la misma contraseña para distintos servicios. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante obtiene acceso a un servidor y consigue hacerse con una lista de contraseñas, puede utilizar esas contraseñas para atacar otros servicios. |
| Therefore, only password hashes may be stored. |
Por esta razón, las contraseñas solo deben almacenarse en forma de hash. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Los algoritmos de creación segura de hashes son fáciles de usar en la mayoría de los idiomas, dificultan la obtención de la contraseña original e impiden que se acepten contraseñas erróneas. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Al añadir sal (salt) al hash de la contraseña, se obstaculiza el uso de tablas arcoíris y de los ataques por fuerza bruta, que requerirían demasiado tiempo. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Los refuerzos ralentizan igualmente los ataques por fuerza bruta sin conexión contra hashes robados y los ataques por fuerza bruta en línea cuando falla el límite de intentos. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Sin embargo, aumentan el uso de CPU del servidor y podrían abrir una puerta a los ataques de denegación de servicio (DDoS) si no se limitan los intentos de inicio de sesión. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen refuerzo puede multiplicar por más de 10 000 la lentitud de los ataques por fuerza bruta sin conexión. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Es necesario limitar los intentos de inicio de sesión para evitar los ataques por fuerza bruta en línea y los ataques de denegación de servicio que explotan el uso de CPU del procedimiento de refuerzo de contraseñas. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
De no hacerlo, un atacante podría probar un número muy grande de contraseñas directamente en el servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Suponiendo que el atacante realizara 100 intentos por segundo (algo razonable en un servidor web normal), sin un refuerzo importante y empleando varios hilos simultáneos, en un solo mes habría probado ¡259 200 000 contraseñas! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Si no se imponen normas para la creación de contraseñas, muchos usuarios elegirán como contraseña «123456», «qwerty» o «contraseña», dejando así el sistema expuesto a ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Por otra parte, si las normas de creación de contraseñas son demasiado estrictas, los usuarios se verán en la necesidad de guardarlas o anotarlas, lo que les resultará molesto y los predispondrá a emplear la misma contraseña para todos los servicios. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Además, los usuarios con contraseñas seguras que no cumplan esas normas se pueden ver obligados a emplear contraseñas difíciles de recordar, pero no necesariamente seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña compuesta por 5 palabras del diccionario concatenadas, en minúsculas y elegidas al azar es bastante más segura que una contraseña de ocho caracteres compuesta por mayúsculas y minúsculas, números y signos de puntuación. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Téngalo presente si no cuenta con normas para contraseñas y debe diseñarlas personalmente. |
