| Users re-use passwords for multiple services. |
Użytkownicy często wykorzystują te same hasła na wielu platformach. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Jeśli atakujący uzyska dostęp do jednego serwera i dotrze do listy haseł, będzie mógł użyć danego hasła, aby zaatakować także inne platformy. |
| Therefore, only password hashes may be stored. |
Dlatego należy przechowywać jedynie skróty haseł. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Bezpieczne algorytmy haszujące są łatwe w użyciu w przypadku większości języków i zapobiegają łatwemu odtworzeniu oryginalnego hasła oraz przypadkowemu przyjęciu błednego hasła. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Dodanie ciągu zaburzającego (tzw. soli) zapobiega używaniu tęczowych tablic (rainbow tables) oraz znacznie spowalnia próby ataku siłowego. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Wzmocnienia zabezpieczeń spowalniają zarówno ataki siłowe off-line wobec skradzionych skrótów haseł jak i ataki siłowe on-line, w przypadku gdy zawiedzie funkcja ograniczania prędkości. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Jednak zwiększa to obciążenie procesora na serwerze i może otworzyć wektor do ataków DDoS (ang. rozproszona odmowa usługi), jeśli nie zapobiegnie sie im poprzez ogranicznie prób logowania. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Dobre wzmocnienie zabezpieczeń może spowolnić ataki siłowe off-line o współczynnik 10.000 lub większy |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ograniczenie prób logowania jest konieczne, by ograniczyć ataki siłowe on-line i ataki DoS (ang. odmowa usługi) poprzez zużycie zasobów procesora na procedurę wzmacniania haseł. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Bez tego ograniczenia atakujący może próbować bardzo dużej liczby haseł bezpośrednio wobec serwera. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Przy 100 próbach na sekundę, co jest osiągalne dla normalnego serwera, braku znacznego wzmocnienia oraz atakującym, który korzysta z wielu wątków, możliwe jest sprawdzenie nawet 259.200.000 haseł w ciągu jednego miesiąca! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Brak odpowiedniej polityki bezpieczeństwa spowoduje, że zbyt wielu użytkowników wybierających na swoje hasła ciągi typu "123456", "qwerty" albo "password" narazi system na ataki. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Zbyt restrykcyjna polityka dotycząca haseł zmusi użytkowników do zachowywania lub notowania haseł, zwiększy ich niezadowolenie oraz skłoni do wykorzystywania tych samych haseł na wszystkich swoich platformach. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Poza tym użytkownicy wykorzystujący bezpieczne hasła, które nie spełniają wymogów zbyt restrykcyjnej polityki, mogą zostać zmuszeni do używania haseł, które są trudniejsze w użyciu, ale niekoniecznie bardziej bezpieczne. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Hasło składające się z ciągu pięciu, losowo (!) wybranych słow ze słownika pisanych małymi literami jest znacznie bardziej bezpieczne niż hasło składające się z 8 znaków, wybranych spośród małych i dużych liter, cyfr oraz znaków interpunkcyjnych. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Weź to pod uwagę, jeśli nie będziesz implementować gotowej polityki haseł, a będziesz tworzyć własną. |
