| Users re-use passwords for multiple services. |
Os usuários reutilizam as palavras passe para vários serviços. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um invasor consegue aceder a um servidor e consegue subtrair uma lista de palavras passe, ele pode ser capaz de usar estas palavras passe para atacar outros serviços. |
| Therefore, only password hashes may be stored. |
Portanto, só os hashes das palavras passe devem ser guardados |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Os algoritmos de hashes seguros são fáceis de usar na maioria dos idiomas e garantem que as palavras passe não possam ser facilmente recuperadas e que as palavras passe erradas não sejam falsamente aceites. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Adicionar grãos de areia às hashes da palavra passe evita o uso de rainbow tables e diminui significativamente as tentativas de ataque de força bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
O fortalecimento atrasa tanto os ataques de força bruta off-line contra hashes roubados como ataques de força bruta on-line no caso de que a limitação de ritmo falhe. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
No entanto, isto aumentará a carga do CPU no servidor e abrirá um vetor para ataques DDoS se não é evitado com uma limitação de tentativas de inicio de sessão. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom fortalecimento pode abrandar um ataque de força bruta off-line por um fator de 10000 ou mais. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
É necessário limitar as tentativas de inicio de sessão para evitar ataques de força bruta on-line e DoS através do uso de procedimentos de fortalecimento de palavras passe no CPU. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Não tendo um limite, um atacante pode tentar um enorme número de palavras passe diretamente contra o servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumindo 100 tentativas por segundo, o que é razoável para um servidor web, sem fortalecimento significante e um atacante com várias linhas, isto resultaria em 259,200,000 palavras passe tentadas em um só mês. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Não executando nenhumas politicas de palavra passe levará a que muitos usuários escolham "123456", "qwerty" ou "senha" como a sua palavra passe, abrindo assim o sistema a um ataque. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Executando politicas de palavra passe muito estritas forçará os usuários a guardar palavras passe ou a escrevê-las, geralmente aborrecendo-os e fomentando o uso da mesma palavra passe para todos os sistemas. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, os usuários que usam palavras passe que não se enquadram nas politicas podem ser forçados a usar palavras passe que são mais difíceis de lembrar, mas que não são necessariamente seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma palavra passe que consiste em 5 palavras do dicionário em minúsculas escolhidas ao azar (!), concatenadas é significativamente menos seguro que uma palavra passe de oito caracteres de letras minúsculas e maiúsculas misturadas, números e pontuação. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tome isto em conta se não consegue aplicar uma politica de palavras passe e tem que desenhar a sua. |
