| Users re-use passwords for multiple services. |
ユーザーは複数のサービスで同じパスワードを使い回すことがあります。 |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
この場合、攻撃者はひとつのサーバーにアクセスしてパスワードのリストを盗みさえすれば、同じパスワードで他のサービスにも攻撃することが可能になります。 |
| Therefore, only password hashes may be stored. |
そこで、パスワードのハッシュ値のみを保管します。 |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
安全性の高いハッシングのアルゴリズムはほとんどの言語で簡単に利用できます。また、元のパスワードの復元が困難で、間違ったパスワードが誤って承認されることを防止できます。 |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
パスワードのハッシュにソルトを付け加えると、レインボーテーブルの使用を妨げ、総当たり攻撃を大幅に遅くすることができます。 |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
さらに強化対策を講じれば、盗まれたハッシュ値へのオフラインでの総当たり攻撃と、レート制御に失敗した場合のオンラインでの総当たり攻撃の両方を遅延させることができます。 |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
ただし、サーバーのCPU負荷率が増加するので、ログインの試行回数制限で防御できないとDDoS攻撃のベクターが開かれてしまう可能性があります。 |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
適切に強化することで、オフラインの総当たり攻撃を 1 万倍以上遅くすることが可能です。 |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
パスワードの強化手続きにともなう CPU 使用率増加を悪用したオンライン総当たり攻撃や DoS 攻撃を防ぐには、ログインの試行回数を制限する必要があります。
|
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
制限を設けないと、攻撃者は膨大な量のパスワードをサーバーに直接試すことができます。 |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
もし特別な強化対策を講じずに、攻撃者が通常の Web サーバーで想定される毎秒 100 回の試行を複数のスレッドで行うと仮定すると、1 か月になんと 259,200,000 個のパスワードが試行できるのです! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
パスワードポリシーを適用しないと「123456」や「qwerty」、「password」などをパスワードとして選択するユーザーが増え、システムが攻撃されやすくなります。 |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
ただし、パスワードポリシーが厳しすぎると、ユーザーはパスワードを保存したり書き留めたりする必要に迫られます。そして大抵面倒になって、どのサービスでも同じパスワードを使い回すようになってしまいます。 |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
さらに、ポリシーとは一致しないけれどすでに安全なパスワードを用意しているユーザーまで、覚えにくいうえに必ずしも安全とは言えないパスワードを使用するはめになってしまいます。 |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
たとえば、辞書に載っている単語をランダム (!) に 5 つ選んで、小文字だけでパスワードを構成すれば、大文字と小文字のアルファベット、数字、句読点を使用した 8 文字のパスワードよりもはるかに安全です。 |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
既存のパスワードポリシーがなくてご自身で設計する必要がある場合は、この点を考慮するようにしてください。 |
