| Users re-use passwords for multiple services. |
Viele Anwender wiederholen Passwörter für zahlreiche Dienste. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Wenn sich ein Angreifer Zugang zu einem Server verschafft und eine Passwortliste erlangt, ist er möglicherweise in der Lage, diese Passwörter für Angriffe auf andere Dienste zu verwenden. |
| Therefore, only password hashes may be stored. |
Daher dürfen nur Hashwerte von Passwörtern gespeichert werden. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sichere Hashing-Algorithmen sind in den meisten Sprachen einfach zu verwenden und stellen sicher, dass das ursprüngliche Passwort nicht einfach wiederhergestellt werden kann und dass falsche Passwörter nicht fälschlicherweise akzeptiert werden. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Das Hinzufügen von Salts zu den Passwort-Hashes verhindert die Verwendung von Rainbow-Tabellen und bremst Brute-Force-Versuche spürbar aus. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Eine Verstärkung bremst Brute-Force-Angriffe sowohl offline gegen gestohlene Hashes als auch online, falls die Drosselung der Datentransferraten versagt. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Es erhöht jedoch die CPU-Belastung des Servers und könnte einen Vektor für DDoS-Angriffe eröffnen, sofern dies nicht durch eine Begrenzung der Anmeldeversuche verhindert wird. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Eine gute Verstärkung kann Offline-Brute-Force-Angriffe um einen Faktor von 10000 oder mehr verlangsamen. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Die Limitierung der Anmeldeversuche ist notwendig, um Brute-Force-Angriffe online und DoS über die CPU-Auslastung bei der Passwortverstärkung zu verhindern. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Ohne ein Limit kann ein Angreifer eine sehr große Anzahl von Passwörtern direkt auf dem Server durchprobieren. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Geht man von 100 Versuchen pro Sekunde aus, was für einen normalen Webserver angemessen ist, und von keiner nennenswerten Verstärkung und einem Angreifer, der mit mehreren Threads arbeitet, würde dies 259.200.000 versuchte Passwörter in einem einzigen Monat ergeben! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Wenn keine Passwortrichtlinien erzwungen werden, könnten zu viele Benutzer "123456", "qwerty" oder "password" als Passwort wählen und so das System für Angriffe öffnen. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Zu strenge Passwortrichtlinien zwingen die Benutzer dazu, Passwörter zu speichern oder aufzuschreiben, was sie im Allgemeinen nervt und zur Wiederverwendung desselben Passworts für alle Dienste verleitet. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Darüber hinaus können Nutzer, die sichere aber nicht den Richtlinien entsprechende Passwörter verwenden, gezwungen sein, schwieriger zu merkende, aber nicht unbedingt sichere Passwörter zu verwenden. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ein Passwort, das aus fünf aneinandergereihten, zufällig (!) ausgewählten klein geschriebenen Wörterbucheinträgen besteht, ist wesentlich sicherer als ein achtstelliges Passwort, das aus gemischten Großbuchstaben, Zahlen und Interpunktionszeichen besteht. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Berücksichtigen Sie dies, wenn Sie keine Kennwortrichtlinie zur Umsetzung erhalten, sondern Ihre eigene entwerfen müssen. |
