| Users re-use passwords for multiple services. |
Los usuarios reutilizan sus contraseñas para distintos servicios. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante logra acceder a un servidor y consigue una lista de contraseñas, puede utilizar esta contraseña para atacar otros servicios. |
| Therefore, only password hashes may be stored. |
Por lo tanto, únicamente deben almacenarse hashes de contraseñas. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Los algoritmos de hash seguros pueden usarse de manera sencilla en la mayoría de lenguajes. Estos garantizan que la contraseña original no pueda obtenerse fácilmente y que no se acepten falsamente contraseñas erróneas. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Agregar sales a los hashes de contraseñas evita el uso de tablas arcoíris y desacelera considerablemente los ataques por fuerza bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
El fortalecimiento desacelera tanto los ataques sin conexión por fuerza bruta contra hashes robados, como los ataques en línea por fuerza bruta en caso de que falle la limitación de tráfico. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Sin embargo, aumenta la carga del CPU en el servidor y podría abrir un vector para ataques DDoS si no se evita mediante limitación de intentos de inicio de sesión. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen fortalecimiento puede desacelerar 10000 mil veces o más los ataques sin conexión por fuerza bruta. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Es necesario limitar los intentos de inicio de sesión para frenar ataques en línea por fuerza bruta y ataques DoS a través del uso de CPU del procedimiento de fortalecimiento de contraseñas. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sin un límite, un atacante puede probar un alto número de contraseñas directamente contra el servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
En el caso de que se hicieran 100 intentos por segundo, que es factible para un servidor normal, sin un fortalecimiento significativo y con un atacante que trabaje con varios hilos, ¡el resultado serían 259.200.000 contraseñas probadas en solo un mes! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Si no se imponen políticas de contraseñas, demasiados usuarios pueden elegir contraseñas como "123456", "qwerty" o "contraseña"; lo que expone al sistema ante ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Al imponer políticas de contraseñas demasiado estrictas, los usuarios se ven obligados a guardar sus contraseñas o anotarlas, lo que generalmente resulta molesto y lleva a que utilicen la misma contraseña para todos los servicios. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Además, los usuarios que utilicen contraseñas seguras que no concuerden con las políticas pueden verse obligados a usar otras contraseñas que sean más difíciles de recordar y no necesariamente seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña compuesta de 5 palabras de diccionario concatenadas, en minúsculas y elegidas al azar (!) es considerablemente más segura que una contraseña de ocho caracteres compuesta por mayúsculas, minúsculas, números y caracteres especiales. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Ten esto en cuenta si no tienes una política de contraseña para implementar, sino que tienes que diseñar una propia. |
