| Users re-use passwords for multiple services. |
Benutzer verwenden Passwörter mehrfach für mehrere Dienste. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Wenn ein Angreifer Zugriff auf einen Server erhält und eine Liste von Passwörtern erlangen kann, könnte er dieses Passwort nutzen, um andere Dienste anzugreifen. |
| Therefore, only password hashes may be stored. |
Daher dürfen nur Passwort-Hashes gespeichert werden. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sichere Hashing-Algorithmen sind in den meisten Programmiersprachen einfach zu verwenden und stellen sicher, dass das ursprüngliche Passwort nicht leicht wiederhergestellt werden kann und falsche Passwörter nicht fälschlicherweise akzeptiert werden. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Das Hinzufügen von Salts zu den Passwort-Hashes verhindert die Verwendung von Rainbow-Tabellen und verlangsamt Brute-Force-Angriffe erheblich. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Das Verstärken verlangsamt sowohl Offline-Brute-Force-Angriffe auf gestohlene Hashes als auch Online-Brute-Force-Angriffe, falls die Ratenbegrenzung versagt. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Allerdings erhöht es die CPU-Auslastung des Servers und könnte eine Angriffsfläche für DDoS-Angriffe darstellen, wenn keine Begrenzung der Login-Versuche implementiert wird.
|
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Eine gute Verstärkung kann Offline-Brute-Force-Angriffe um den Faktor 10.000 oder mehr verlangsamen. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Die Begrenzung von Login-Versuchen ist notwendig, um Online-Brute-Force-Angriffe und DoS-Angriffe durch die CPU-Auslastung der Passwort-Verstärkungsprozedur zu verhindern. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Ohne eine Begrenzung kann ein Angreifer eine sehr große Anzahl von Passwörtern direkt gegen den Server ausprobieren. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Angenommen, 100 Versuche pro Sekunde, was für einen normalen Webserver vernünftig ist, keine signifikante Verstärkung und ein Angreifer, der mit mehreren Threads arbeitet, würde dies dazu führen, dass in einem einzigen Monat 259.200.000 Passwörter ausprobiert werden! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Das Nicht-Durchsetzen von Passwortrichtlinien führt dazu, dass zu viele Benutzer „123456“, „qwerty“ oder „password“ als Passwort wählen, wodurch das System anfällig für Angriffe wird. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Das Durchsetzen zu strenger Passwortrichtlinien zwingt Benutzer dazu, Passwörter zu speichern oder aufzuschreiben, verärgert sie allgemein und fördert die Wiederverwendung des gleichen Passworts für alle Dienste. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Darüber hinaus könnten Benutzer, die sichere Passwörter verwenden, die nicht den Richtlinien entsprechen, gezwungen werden, Passwörter zu verwenden, die schwieriger zu merken sind, aber nicht unbedingt sicherer. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ein Passwort, das aus fünf zufällig (!) ausgewählten, zusammengefügten Kleinbuchstaben-Wörtern besteht, ist deutlich sicherer als ein achtstelliges Passwort, das aus gemischten Groß- und Kleinbuchstaben, Zahlen und Satzzeichen besteht. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Berücksichtige dies, falls du keine vorgegebene Passwortrichtlinie implementieren musst, sondern deine eigene entwerfen sollst. |
