| Users re-use passwords for multiple services. |
Usuários re-utilizam a mesma senha em vários serviços |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se o hacker consegue acesso a um servidor e consegue uma lista de senhas, ele pode usar essas senhas para invadir outros serviços |
| Therefore, only password hashes may be stored. |
Por isso, apenas senha criptografadas podem ser armazenadas |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos de criptografia seguros são facilmente usados em quase todas as linguagens e garante que a senha original não seja facilmente recuperada e que senhas erradas não sejam aceitadas |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Adicionando saltos na criptografia da senha previne o uso de rainbow tables(tabelas com hashes pré calculadas) e diminuiu significativamente as tentativas de brute-force |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Fortalecendo a lentidão em ataques de brute-force offline contra as hashes roubadas e em brute-force online caso de a limitação de tava falhar |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Contudo, aumenta a carga da CPU no servidor e abriria uma entrada para os ataques de DDoS se não for prevenida com um limite de tentativas para fazer o login. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom fortalecimento pode diminuis os ataques de brute-force offlines por um fator de 10000 ou mais
|
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitar as tentativas de login é necessário para prevenir os ataques de brute-force online and DoS atraves do uso da CPU para o procedimentos de fortificar as senhas |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem um limite, um hacker consegue realizar diversas tentativas de logins diretamente no servidor |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumindo 100 tentativas por segundo, o que é normal para um servidor web, sem um fortalecimento significativo e um hacker trabalhando com múltiplos núcleos, isso resultaria em 259,200,00 senhas tentadas em um mês. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Sem impor nenhuma politica de senha, ira levar muitos usuários escolher "123456","qwerty" ou "password" como senhas, abrindo o sistema para ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Impor uma politicas de senha muito rigorosa ira forcar os usuários a salvar as senhas ou então escreve-las, geralmente irritando eles e fazendo-os a re-utilizar a mesma senha para vários serviços |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Alem disso, usuários usando senhas seguras que não combinam com as politicas podem ser forçados a usar senhas que são difíceis para lembrar, porem não seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha consiste em 5 concatenados, randômico(")escolher um dicionario de palavras em minusculo é mais seguro do que senhas de 8 caracteres com letras mistas, números e pontuações. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Use isto em sua conta se você não obteve uma politica de senha para implementar, mas tem que criar para você mesmo. |
