| Users re-use passwords for multiple services. |
Les utilisateurs ré-utilisent leurs mots de passe pour des services multiples. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un attaquant obtient l'accès d'un serveur et peut accéder à une liste de mots de passe, il peut utiliser ce mot de passe pour attaquer d'autres services. |
| Therefore, only password hashes may be stored. |
Par conséquent, seuls les hachages de mots de passe peuvent être stockés. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Les algorithmes de hachage sécurisés sont faciles à utiliser dans la plupart des langues et garantissent que le mot de passe original ne peut pas être facilement récupéré et que les mots de passe erronés ne sont pas acceptés à tort. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
L'ajout de sels aux haches de mots de passe empêche l'utilisation de tables arc-en-ciel et ralentit considérablement les tentatives de force brute. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Le renforcement ralentit à la fois les attaques par force brute hors ligne contre des hachages volés et les attaques par force brute en ligne en cas d'échec de la limitation du débit. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Cependant, cela augmente la charge CPU du serveur et ouvrirait un vecteur pour les attaques DDoS si on ne l'empêche pas avec la limitation des tentatives de connexion. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un bon renforcement peut ralentir les attaques par force brute hors ligne par un facteur de 10 000 ou plus. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Il est nécessaire de limiter le nombre de tentatives de connexion pour éviter les attaques par force brute en ligne et les attaques par déni de service via l'utilisation du processeur de la procédure de renforcement du mot de passe. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sans limite, un attaquant peut essayer un très grand nombre de mots de passe directement contre le serveur. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
En supposant 100 tentatives par seconde, ce qui est raisonnable pour un serveur web normal, sans renforcement significatif et un attaquant travaillant avec plusieurs threads, cela donnerait 259 200 000 mots de passe essayés en un seul mois ! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Si vous n'appliquez pas de politique en matière de mots de passe, trop d'utilisateurs choisiront "123456", "qwerty" ou "password" comme mot de passe, ce qui rendra le système vulnérable aux attaques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
L'application de politiques de mot de passe trop strictes obligera les utilisateurs à sauvegarder leurs mots de passe ou à les écrire, ce qui les ennuiera généralement et les incitera à réutiliser le même mot de passe pour tous les services. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
En outre, les utilisateurs qui utilisent des mots de passe sécurisés ne correspondant pas aux politiques peuvent être contraints d'utiliser des mots de passe plus difficiles à retenir, mais pas nécessairement sécurisés. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Un mot de passe composé de 5 mots du dictionnaire concaténés et choisis au hasard ( !) en minuscules est nettement plus sûr qu'un mot de passe de huit caractères composé de lettres, de chiffres et de signes de ponctuation mélangés. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenez-en compte si vous n'avez pas de politique de mot de passe à mettre en œuvre, mais que vous devez concevoir la vôtre. |
