Users re-use passwords for multiple services. |
Пользователи повторно используют пароли для множества служб. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если нарушитель получает доступ к одному серверу и может получить список паролей, то он может использовать этот пароль для атаки на другие службы. |
Therefore, only password hashes may be stored. |
Поэтому, можно хранить только хэши (контрольные суммы) паролей. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Безопасные алгоритмы хэширования просто использовать в большинстве языков и можно быть уверенным, что оригинальный пароль не может быть легко восстановлен, а неправильные пароли ошибочно приняты. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Добавление солей к хэшам пароля предотвращает использование радужных таблиц и значительно замедляет попытки грубой силы. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление замедляет как оффлайн-атаки грубой силы против украденных хэшей, так и онлайн-атаки в случае сбоя в системе ограничения частоты ввода. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Однако, это увеличивает нагрузку на процессор сервера и открывает направление для DDoS-атак (атаки на отказ в обслуживании), если не предотвращается ограничением попыток регистрации. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Хорошее усиление может замедлить оффлайн-атаки грубой силы в 10000 раз или более. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение попыток регистрации необходимо, чтобы предотвратить онлайн-атаки грубой силы и DoS-атаки с использованием процессора процедурой усиления паролей. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Без ограничения атакующий может испытать очень большое число паролей напрямую против сервера. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
В предположении 100 попыток в секунду, что разумно для нормального веб-сервера, отсутствия значительного усиления и использования нарушителем многопоточности, это могло бы привести к 259200000 попыткам использования паролей в один месяц! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Неиспользование каких-либо политик усиления паролей приведет к выбору многими пользователями паролей типа "12345", "qwerty" или "password", открывающими систему для атак. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Принуждение к очень жестким парольным политикам заставит пользователей сохранять или записывать пароли, в целом раздражать их и поощрять их к использованию одинакового пароля для всех служб. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Более того, пользователе, использующие безопасные пароли, не соответствующие политикам, могут быть вынуждены использовать пароли, которые сложнее запоминаются, но необязательно безопасные. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль, состоящий из 5 сцепленных, случайно (!) выбранных словарных слов в нижнем регистре, значительно более безопасен, чем пароль, состоящий из букв со смешанным регистром, цифр и знаков препинания. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Учтите это, если у вас нет политики паролей для реализации, но вы должны разработать свою. |