Users re-use passwords for multiple services. |
Les utilisateurs réutilisent les mots de passe pour de nombreux services. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un assaillant réussissait à accéder à un serveur ainsi qu'à une liste de mots de passe, il pourrait utiliser ce mot de passe pour attaquer d'autres services. |
Therefore, only password hashes may be stored. |
C'est pourquoi on ne peut stocker que les hachages des mots de passe. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Les algorithmes de hachage sécurisés sont faciles à utiliser dans la plupart des langues et garantissent que le mot de passe original ne soit pas aisément récupéré et que les mots de passe erronés ne soient pas acceptés par erreur. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Ajouter des graines aux hachages de mots de passe empêche l'utilisation de tableaux arc-en-ciel et ralentit considérablement les tentatives par brute force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Renforcer ralentit les attaques hors ligne par brute force envers les dièses volées et en ligne au cas où la limitation du taux échoue. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Cependant, cela augmente la charge CPU sur le serveur et pourrait ouvrir un vecteur pour les attaques DDoS, non évitées par limitation des tentatives d'identification. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un bon renforcement peut ralentir de 10.000 ou plus les attaques hors ligne par brute force. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Il est nécessaire de limiter les tentatives d'identification afin d'éviter les attaques en ligne par brute force et de DoS au moyen d'une utilisation du CPU de la procédure de renforcement du mot de passe. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sans limitation, un assaillant peut essayer un grand nombre de mots de passe directement contre le serveur. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumer 100 tentatives par seconde, chiffre raisonnable pour un serveur Web normal, pas de renforcement de taille et un assaillant travaillant avec des trames multiples, cela équivaudrait à 259.200.000 de mots de passe essayés en un seul mois. |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Ne pas renforcer les règles liés aux mots de passe aboutirait à trop d'utilisateurs qui choisiraient "123456", "qwerty" ou "password" comme mot de passe, ce qui rendrait le sytème vulnérable aux attaques. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Un renforcement trop strict des règles des mots de passe forcerait les utilisateurs à sauvegarder leurs mots de passe ou à les écrire et, en général, les ennuie au point de réutiliser le même mot de passe pour tous les services. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
En outre, les utilisateurs, se servant de mots de passe sécurisés qui ne correspondent pas aux règles, se verraient forcés d'utiliser des mots de passe plus difficiles à retenir mais pas forcément plus sûrs. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Un mot de passe de 5 mots en lettres minuscules concaténés et choisit au hasard (!) dans le dictionnaire, est considérablement plus sûr qu'un mot de passe à huit caractères, consistant en un mélange de lettres minuscules et majuscules, de chiffres et ponctuation. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Gardez ceci en tête si vous n'avez pas de règle de mots de passe à mettre en oeuvre et que vous devez créer le vôtre. |