| Users re-use passwords for multiple services. |
Os utilizadores voltam a utilizar palavras-passe para múltiplos serviços. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um atacante obtiver acesso a um servidor e conseguir aceder a uma lista de palavras-passe, poderá conseguir utilizar uma palavra-passe para atacar outros serviços. |
| Therefore, only password hashes may be stored. |
Por este motivo, só poderão ser armazenados hash de palavras-passe. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos de hash seguros são fáceis de utilizar na maioria das línguas e garantem que a palavra-passe original não é fácil de recuperar e que palavras-passe incorretas não serão aceites erradamente. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Adicionar "salts" aos hash de palavras-passe impede a utilização de "rainbow tables" e abranda significativamente tentativas de ataques de força bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Reforçar a palavra-passe abranda ataques de força bruta offline, contra hash roubados, e online, caso a limitação de fluxo falhe. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
No entanto, se não for impedido por um limite de tentativas de início de sessão, este reforço aumenta a carga do CPU no servidor e abre um vetor para ataques DDoS. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom reforço de palavra-passe consegue abrandar ataques de força bruta offline por um factor de 10 000 ou mais. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
A limitação de tentativas de início de sessão é necessária para evitar ataques de força bruta online e DoS, através da utilização de CPU do procedimento de reforço de palavra-passe. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem um limite, um atacante pode tentar um grande número de palavras-passe diretamente contra o servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Imaginando 100 tentativas por segundo, que é um número razoável para um servidor web normal, nenhum reforço de palavra-passe significativo, e um atacante a trabalhar com várias threads, tal resultaria em 259 200 000 tentativas de palavras-passe num só mês! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
A não imposição de políticas de palavra-passe levará a que muitos utilizadores escolham "123456", "qwerty" ou "palavra-passe" como palavra-passe, facilitando ataques ao sistema. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
A imposição de políticas de palavras-passe demasiado restritas levará a que os utilizadores guardem ou anotem as palavras-passe. Além disso, poderá aborrecê-los e encorajá-los a voltarem a utilizar a mesma palavra-passe para todos os serviços. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Os utilizadores que utilizem palavras-passe seguras que não estejam de acordo com as políticas de palavras-passe poderão, inclusivamente, ver-se obrigados a utilizar palavras-passes mais difíceis de memorizar, mas não necessariamente mais seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma palavra-passe que consista em 5 palavras do dicionário, em letra minúscula, concatenadas e escolhidas aleatoriamente (!) é substancialmente mais segura do que uma palavra-passe de oito caracteres, que consista numa mistura de letras maiúsculas e minúsculas, números e pontuação. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenha em consideração estas informações quando tiver de criar a sua própria política de palavra-passe, caso não lhe seja fornecida nenhuma. |
