| Users re-use passwords for multiple services. |
Пользователи используют одни и те же пароли для разных сервисов |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если злоумышленник получит доступ к серверу и сможет извлечь список паролей, он может получить возможность использовать эти пароли для атак на другие сервисы |
| Therefore, only password hashes may be stored. |
Таким образом, могут храниться только хэши паролей |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Безопасные алгоритмы хэширования легко реализовать на большинстве языков, они предотвращают лёгкое вычисление паролей и не позволяют распознавание неверных паролей как правильных. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Добавление "соли" к хэшам паролей предотвращает использование радужных таблиц и заметно затрудняет атаки методом перебора. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление сложности замедляет атаки перебором, как офлайновые на украденные хэши, так и онлайновые, в случае если ограничение на частоту перебора не срабатывает. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Однако это увеличивает нагрузку на процессор сервера и может открыть возможность для DDoS атаки, если не предусмотрено ограничение на количество попыток входа. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Хорошее усиление сложности может замедлить атаку перебором более чем в 10000 раз и более. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение на количество попыток входа необходимо для предотвращения онлайн атак перебором и DoS атак, перегружающих процессор вычислением процедур усиления паролей. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Без ограничения злоумышленник может попытаться перебрать большое количество паролей непосредственно на сервере. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Если мы примем 100 попыток входа в секунду как обычное для среднего веб-сервера значение, то, без какого-либо усиления сложности паролей, при условии работы в несколько потоков, злоумышленник может перебрать 259 200 000 паролей в месяц. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Пренебрежение парольными политиками приведёт к тому, что слишком большое количество пользователей выберет 123456”, “qwerty” или “password” в качестве паролей, открывая систему для проникновения. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Использование слишком сложных паролей будет раздражать пользователей, заставит их сохранять или записывать пароли, и будет способствовать использованию одного пароля для всех сервисов. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Более того, пользователи,использующие безопасные пароли, не подходящие под политики, могут быть вынуждены использовать плохо запоминаемые, не обязательно более стойкие пароли. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль состоящий из 5 случайно (!) выбранных словарных слов, заметно более безопасен, чем восьмисимвольный, состоящий из букв в разных регистрах, цифр и знаков пунктуации. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Имейте это в виду, если вам не обязательно воплощать готовую парольную политику, но необходимо выработать свою собственную. |
