| Users re-use passwords for multiple services. |
Os usuários re-usam senhas para multiplos serviços. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um invasor tiver acesso a um servidor e conseguir uma lista de senhas, ele talvez possa usar estas senhas para atacar outros serviços. |
| Therefore, only password hashes may be stored. |
Portanto, apenas o hash das senhas deve ser armazenado. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algorítmos de hash seguros sāo faceis de usar em diversas linguagens e garantem que a senha original nāo seja facilmente recuperada e que senhas erradas sejam erroneamente aceitas como verdadeiras. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
adicionando salts (dados aleatórios) ao hash das senhas, previne o uso de tabelas arco-iris e diminui significativamente as tentativas de descoberta usando métodos de força-bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Esse tipo de reforço abranda ataques off-line de força bruta contra hashes roubados e também os on-line no caso de falha no limitador de trafego. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Contudo, essas medidas aumentam o uso de CPU no servidor e poderia abrir uma brecha para um ataque distribuído de negação de serviço (DDoS) caso esta hipótese não seja devidamente tratada com um limitador de login. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom reforço na segurança dos hashes pode diminuir a efetividade dos ataques de força bruta off-line em cerca de 10000 ou mais. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitação nas tentativas de login é necessária para prevenir ataques on-line de força bruta e negação de serviço DoS através do excessivo uso de CPU causado por um reforço nos procedimentos de proteção das senhas. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem um limite definido, um atacante pode tentar um grande numero de senhas diretamente contra o servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumindo 100 tentativas por segundo, as quais são razoáveis para um servidor web normal, um reforço de segurança das senhas pouco efetivo e um atacante trabalhando com multiplas threads, pode resultar em 259.200.000 de possíveis senhas em um único mês! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Uma política de segurança fraca resultará em muitos usuários escolhendo senhas como "123456", "qwerty" ou atê mesmo "senha" como suas senhas, deixando o sistema vulnerável a ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Políticas de segurança muito severas irão forçar os usuários a salvar suas senhas ou anotá-las, além de geralmente os irritar e estimular o reuso da mesma senha para todos os serviços. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, usuários que usem senhas em desacordo com as políticas de segurança, podem ser forçados a usar senhas difíceis de lembrar, mas que não necessariamente sejam seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha que seja uma palavra com 5 letras,minúsculas escolhida aleatóriamente (!) em um dicionário, é significativamente mais segura do que uma com oito caracteres, misturando maiúsculas, minúsculas, números e pontuação. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Leve isso em consideração caso você não tenha um a política de segurança de senhas implementada mas precise escrever uma. |
