Users re-use passwords for multiple services. |
Pengguna menggunakan kembali kata sandi untuk beberapa layanan. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Jika penyerang mendapatkan akses ke satu server dan dapat mendapatkan daftar kata sandi, dia mungkin dapat menggunakan kata sandi tersebut untuk menyerang layanan yang lainnya. |
Therefore, only password hashes may be stored. |
Oleh karena itu, hanya hash kata sandi yang dapat disimpan. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritma hash yang aman mudah digunakan dalam sebagian besar bahasa dan memastikan kata sandi asli tidak dapat dengan mudah dipulihkan dan kata sandi yang salah tidak dapat diterima secara salah. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Menambahkan 'salt' ke hash kata sandi mencegah penggunaan 'rainbow tables' dan secara signifikan memperlambat upaya 'brute-force'. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Penguatan memperlambat serangan 'brute-force' luring terhadap hash-hash curian dan 'brute-force' daring jika pembatasan tingkat gagal. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Namun, ini meningkatkan beban CPU di server dan akan membuka vektor untuk serangan DDoS jika tidak dicegah dengan upaya masuk yang terbatas. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Penguatan yang baik dapat memperlambat serangan 'brute-force' luring dengan faktor 10000 atau lebih. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Membatasi upaya masuk diperlukan untuk mencegah serangan brute-force dan DoS daring melalui penggunaan CPU dari prosedur penguatan kata sandi. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Tanpa pembatasan, penyerang dapat mencoba sejumlah besar kata sandi secarang langsung terhadap server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Dengan asumsi 100 upaya per detik, yang masuk akal untuk web server normal, tidak ada penguatan signifikan dan penyerang bekerja dengan beberapa utas, ini akan menghasilkan 259,200,000 kata sandi yang dicoba dalam satu bulan! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Tidak menerapkan kebijakan kata sandi apa pun akan menyebabkan terlalu banyak pengguna memilih "123456", "qwerty" atau "kata sandi" sebagai kata sandi mereka, membuka sistem untuk serangan. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Menerapkan kebijakan kata sandi yang terlalu ketat akan memaksa pengguna untuk menyimpan kata sandi atau menuliskannya, umumnya menjengkelkan dan mendorong penggunaan kembali kata sandi yang sama untuk semua layanan. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Selain itu, pengguna yang menggunakan kata sandi aman yang tidak cocok dengan kebijakan mungkin terpaksa menggunakan kata sandi yang lebih sulit untuk diingat, tetapi belum tentu aman. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Kata sandi yang terdiri dari 5 gabungan, dipilih secara acak (!) Secara signifikan lebih aman daripada kata sandi delapan karakter yang terdiri dari huruf campuran, angka, dan tanda baca. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Pertimbangkan ini jika anda tidak mendapatkan kebijakan kata sandi untuk diterapkan, tetapi harus merancang sendiri. |