| Users re-use passwords for multiple services. |
Los usuarios suelen utlizar las mismas contraseñas para diferentes servicios. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante consigue acceder a un servidor y obtener una lista de contraseñas, podría utilizar dicha contraseña para atacar otros servicios. |
| Therefore, only password hashes may be stored. |
Por lo tanto, solo se deberían almacenar los hash de contraseña. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Los algoritmos de control seguro se pueden usar fácilmente en la mayoría de los idiomas y éstos aseguran que las contraseñas originales no se puedan recuperar fácilmente y que, aquellas que son incorrectas, no se acepten falsamente. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Añadir semillas a los hash de contraseña ayuda a prevenir el uso de tablas arcoíris y a reducir significativamente los intentos de ataque de fuerza bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
El refuerzo de los hash ralentiza los ataques de fuerza bruta que se producen fuera de línea contra hash robados, así como aquellos que se producen en línea en caso de que la limitación de seguridad falle. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
No obstante, esto incrementa la carga de CPU en el servidor y podría abrir un vector de ataques DDos si no se previene con limitaciones de intentos de inicio de sesión. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen refuerzo de la seguridad puede reducir los ataques de fuerza bruta hasta diez mil veces (o más). |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitación de los intentos de inicio de sesión es necesaria para prevenir ataques de fuerza bruta en línea y DoS a través del uso de la CPU del procedimiento de refuerzo de contraseña. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sin ningún tipo de límite, un atacante puede probar un gran número de contraseñas directamente contra el servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Supongamos que se llevan a cabo 100 intentos por segundo, algo razonable para un servidor web corriente, sin un refuerzo considerable y con un atacante que trabaja con múltiples subprocesos. El resultado consistiría en haber probado ni más ni menos que 259.200.00 contraseñas en un solo mes. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
El hecho de no reforzar las políticas de contraseñas lleva a que un elevado número de usuarios escoja "123456", "qwerty" o "contraseña" como clave, de modo que estarán facilitando la apertura del sistema para que éste sea atacado. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
La imposición de políticas de contraseñas demasiado estrictas obligará a los usuarios a guardar sus contraseñas o a anotarlas (algo que generalmente les resulta molesto) y fomentará la reutilización de la misma clave para todos los servicios. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Asimismo, a los usuarios que utilicen contraseñas que no se correspondan con las políticas vigentes se les podrá obligar a emplear otras que sean más difíciles de recordar pero no necesariamente más seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña compuesta por cinco palabras de diccionario en minúscula, concatenadas y escogidas al azar, es considerablemente más segura que una compuesta por ocho caracteres que conste de mayúsculas y minúsculas, números y signos de puntuación. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Si usted no posee una política de contraseñas para implementar, pero debe diseñar la suya, por favor, tenga en cuenta lo anterior. |
