Users re-use passwords for multiple services. |
Pengguna memakai ulang kata kunci miliknya untuk berbagai layanan |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Jika seorang penyerang mendapatkan akses ke satu server dan mendapatkan daftar kata kunci, mungkin dia bisa menggunakan kata kunci tersebut untuk menyerang layanan lainnya |
Therefore, only password hashes may be stored. |
Namun, hanya kata kunci acak yang disimpan |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Pengamanan algoritma acak mudah digunakan di semua bahasa dan memastikan kata kunci yang asli tidak bisa dibuka dengan mudah dan kata kunci yang salah tidak akan diterima dengan gampang. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Menambahkan aksesori ke dalam kata kunci acak mencegah munculnya serangan kriptografi dan dengan signifikan memperlambat munculnya serangan paksa. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Penguatan memperlambat seranganbrute-off secara offline menggunakan pengacakan yang dicuri dan brute-off secara online mengacu pada batas tingkat kegagalannya. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Namun, ini akan menambahkan beban CPU pada server dan akan membuka sebuah celah untuk serangan DDoS jika tidak dicegah dengan pembatasan jumlah percobaan login. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Penguatan yang baik bisa memperlambat serangan brute-force dengan kemungkinan 1 berbanding 10000 atau lebih. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Membatasi jumlah login dibutuhkan untuk mencegah serangan brute-off secara online dan DoS lewat penggunaan CPU dari prosedur penguatan kata kunci. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Tanpa adanya batasan, seorang penyerang akan mencoba kata kunci dengan jumlah yang besar secara langsung ke server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Bayangkan 100 percobaan per detik, yang cukup beralasan untuk sebuah web server normal, tidak memiliki penguatan yang signikan dan seorang penyerang bekerja dengan banyak jalur, ini memungkinkan hasil 259 juta 200 ribu kata kunci yang dicoba dalam 1 bulan ! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Tidak menekankan adanya kebijakan kata kunci akan membat terlalu banyak pengguna memakai "123456", "qwerty", atau "password" sebagai kata kunci mereka, membuka sistem untuk terkena serangan. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Menekankan aturan penggunaan kata kunci yang terlalu ketat akan memaksa pengguna untuk menyimpan kata kunci atau mereka menuliskannya, umumnya membingungkan mereka dan memicu penggunaan kata kunci yang sama untuk semua layanan. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Namun, pengguna yang memakai kata kunci yang aman namun tidak sesuai dengan kebijakan akan memaksanya untuk memakai kata kunci yang lebih sulit untuk diingat, tapi tidak terlalu aman. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Sebuah kata kunci yang terdiri atas 5 kombinasi, yang secara acak (!) dipilih kata berhuruf kecil secara signifikan lebih aman daripada kata kunci 8 karakter yang terdiri atas campuran jenis huruf, angka dan tanda baca. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Gunakan ini pada akun jika anda tidak memiliki kebijakan kata kunci yang harus diterapkan, tapi harus and arancang sendiri. |