| Users re-use passwords for multiple services. |
Benutzer verwenden für mehrere Dienste dieselben Passwörter. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Wenn ein Angreifer Zugriff auf einen Server erlangt und eine Liste an Passwörtern erhält, kann er diese möglicherweise dafür nutzen weitere Dienste anzugreifen. |
| Therefore, only password hashes may be stored. |
Daher dürfen nur Passwort-Hashes gespeichert werden. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sichere Hashfunktionen sind in den meisten Sprachen leicht zu benutzen, stellen sicher, dass das tatsächliche Passwort nicht leicht wiederherzustellen ist und dass falsche Passwörter nicht fälschlicherweise angenommen werden. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Durch das Anhängen von Salts an die Passwort-Hashes wird die Verwendung von Rainbow Tables unterbunden und Brute-Force-Angriffe werden deutlich verlangsamt. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Die Stärkung von Passwörtern verlangsamt sowohl Offline-Brute-Force-Angriffe auf gestohlene Hashes als auch Online-Brute-Force falls die Durchsatzratenbegrenzung versagt. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Allerdings erhöht sie die CPU-Last auf den Server und würde den Weg für DDos-Angriffe freimachen, wenn dies nicht durch Begrenzung der Login-Versuche verhindert wird. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Eine gute Stärkung kann Offline-Brute-Force-Angriffe um einen Faktor von 10000 oder mehr verlangsamen. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Die Begrenzung von Login-Versuchen ist notwendig um Online-Brute-Force-Angriffe und DoS durch die CPU-Nutzung des Passwort-Stärkungsverfahrens zu verhindern. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Ohne Begrenzung kann ein Angreifer eine große Anzahl Passwörter direkt am Server ausprobieren. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Geht man von 100 Versuchen pro Sekunde aus, ein realistischer Wert für einen Standard-Webserver, würde dies ohne nennenswerte Passwort-Stärkung und bei einem Angreifer, der mit mehreren Threads arbeitet, zu 259 200 000 ausprobierten Passwörtern in einem einzigen Monat führen. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Verzichtet man auf das Durchsetzen jeglicher Passwortrichtlinien, würde dies dazu führen, dass zu viele Benutzer "123456", "qwertz" oder "passwort" als Passwort auswählen und das System so Angriffen ausgesetzt wird. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Das Durchsetzen zu strenger Passwortrichtlinien zwingt Benutzer Passwörter zu speichern oder zu notieren, wird sie meist verärgern und dazu führen, dass sie dasselbe Passwort für alle Dienste wiederverwenden. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Darüber hinaus werden Benutzer, die sichere Passwörter verwenden, welche nicht mit den Richtlinien übereinstimmen, gezwungen, Passwörter zu verwenden, die schwerer zu merken aber nicht zwangsläufig sicher sind. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ein Passwort, das aus 5 zusammengesetzten, zufällig (!) ausgewählten, kleingeschriebenen Wörtern aus dem Wörterbuch besteht, ist bedeutend sicherer als ein acht Zeichen langes Passwort, das aus Groß- und Kleinbuchstaben, Zahlen und Satzzeichen besteht. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Dies ist zu berücksichtigen, wenn keine Passwortrichtlinie umgesetzt sondern eine eigene erstellt werden muss. |
