Users re-use passwords for multiple services. |
Korisnici koriste iste sifre za vise naloga na internet sajtovima. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Ako napadac zadobije pristup jednom serveru and moze da skine listu sa siframa, on moze biti u mogucnosti da iskoristi ovu sifru da upadne u druge naloge. |
Therefore, only password hashes may be stored. |
Zbog toga, samo kriptovane sifre smeju da budu snimljene u bazu. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmi za sigurnosnu enkripciju su laki za koriscenje u vecini jezika i osiguravaju da originalna sifra ne moze lako biti provaljena i da pogresne sifre nisu prihvacene umesto pravih. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Dodavanje nasumicnih karaktera u kriptovanu verziju sifre sprecava upotrebu tabela za razbijanje sifre i znacajno usporava napade nasumicnim pogadjanjem sifre. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Pojacavanje usporava i napade nasumicnim pogadjanjem enkriptovanih sifara koje su ukradene sa interneta i napade nasumicnim pogadjanjem ma internetu u slucaju da limiter pokusaja ne radi. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Ipak, ono povecava opterecenje procesora na serveru i otvorilo bi vektor za DDoS napade ako nije spreceno limitiranjem broja pokusaja prijavljivanja. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Dobro pojacavanje moze da uspori napade nasumicnim pogadjanjem van interneta i za 10000 puta ili vise. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitiranje broja pokusaja prijavljivanja je potrebno da spreci napade nasumicnim pogadjanjem sa interneta i DoS preko opterecenja procesora koriscenjem procedure pojacavanja sifre. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Bez ovog limita, napadac moze da pokusa da iskoristi veoma veliki broj sifri direktno protiv servera. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Pretpostavljajuci 100 pokusaja po sekundi, sto je razumna cifra za obican internet server, bez znacajnog pojacavanja i napadaca koji koristi vise istovremenih procesa, ovo bi rezultiralo sa 259,200,000 pokusanih sifri u jednom mesecu! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Ako sistem ne bi imao politiku kompleksnih sifri, to bi prouzrokovalo da previse korisnika izabere "123456", "qwerty" ili "sifra" kao svoju sifru, otvarajuci prostor za napad na sistem. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Prestroga politika kompleksnih sifri ce prisiliti korisnike da snime sifre ili da ih zapisu na papir, nervira ih i ohrabruje ponovno koriscenje iste sifre za sve sajtove tj. servise. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Stavise, korisnici koji koriste sigurne sifre koje ne zadovoljavaju politiku kompleksnosti mogu biti prisiljeni da koriste sifre koje su teze za pamcenje, ali time ne i sigurnije. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Sifra koja se sastoji od 5 spojenih, nasumicno (!) izabranih reci sa malim slovima je znacajno sigurnija nego sifra od 8 karaktera koja se sastoji od izmesanih malih i velikih slova, brojeva i znakova interpunkcije. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Uzmite ovo u obzir ako ne dobijate politiku za kompleksnost sifara, nego morate da dizajnirate sopstvenu. |