| Users re-use passwords for multiple services. |
Benutzer verwenden Passwörter für mehrere Dienste. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Wenn ein Angreifer Zugriff auf einen Server erhält und an eine Liste mit Passwörtern gelangen kann, kann er dieses Passwort möglicherweise für Angriffe auf andere Dienste verwenden. |
| Therefore, only password hashes may be stored. |
Daher dürfen nur Passwort-Hashes gespeichert werden. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sichere Hash-Algorithmen sind in den meisten Sprachen einfach zu verwenden und stellen sicher, dass das ursprüngliche Passwort nicht einfach wiederhergestellt werden kann und dass falsche Passwörter nicht fälschlicherweise akzeptiert werden. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Das Hinzufügen von Salts zu den Passwort-Hashes verhindert die Verwendung von Regenbogentabellen und verlangsamt Brute-Force-Versuche erheblich. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Durch die Verstärkung werden sowohl Offline-Brute-Force-Angriffe gegen gestohlene Hashes als auch Online-Brute-Force-Angriffe verlangsamt, falls die Ratenbegrenzung fehlschlägt. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Es erhöht jedoch die CPU-Last auf dem Server und würde einen Angriffspunkt für DDoS-Angriffe eröffnen, wenn es nicht durch die Begrenzung der Anmeldeversuche verhindert wird. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Eine gute Verstärkung kann Offline-Brute-Force-Angriffe um den Faktor 10.000 oder mehr verlangsamen. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Die Begrenzung der Anmeldeversuche ist notwendig, um Online-Brute-Force-Angriffe und DoS über die CPU-Auslastung des Passwortverstärkungsverfahrens zu verhindern. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Ohne Begrenzung kann ein Angreifer eine sehr große Anzahl von Passwörtern direkt gegen den Server ausprobieren. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Unter der Annahme von 100 Versuchen pro Sekunde, was für einen normalen Webserver angemessen ist, ohne nennenswerte Verstärkung und einem Angreifer, der mit mehreren Threads arbeitet, würde dies in einem einzigen Monat zu 259.200.000 versuchten Passwörtern führen! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Wenn keine Passwortrichtlinien durchgesetzt werden, werden zu viele Benutzer „123456“, „qwerty“ oder „Passwort“ als Passwort wählen, was das System anfällig für Angriffe macht. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Die Durchsetzung zu strenger Passwortrichtlinien zwingt Benutzer dazu, Passwörter zu speichern oder aufzuschreiben, verärgert sie im Allgemeinen und fördert die Wiederverwendung desselben Passworts für alle Dienste. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Darüber hinaus können Benutzer, die sichere Passwörter verwenden, die nicht den Richtlinien entsprechen, gezwungen werden, Passwörter zu verwenden, die schwerer zu merken, aber nicht unbedingt sicher sind. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ein Passwort, das aus 5 aneinandergereihten, zufällig (!) ausgewählten Wörterbuchwörtern in Kleinbuchstaben besteht, ist deutlich sicherer als ein achtstelliges Passwort, das aus Groß- und Kleinschreibung, Zahlen und Satzzeichen besteht. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Berücksichtigen Sie dies, wenn Sie keine Passwortrichtlinie implementieren müssen, sondern Ihre eigene entwerfen müssen. |
