| Users re-use passwords for multiple services. |
Люди часто используют один и тот же пароль для разных сервисов. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если злоумышленник получит доступ к одному серверу и сможет извлечь список паролей, это даст ему возможность с помощью этого пароля взломать другие сервисы. |
| Therefore, only password hashes may be stored. |
Поэтому на сервере можно хранить не сами пароли, а только хеши паролей. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
В большинстве языков программирования предусмотрены простые в использовании алгоритмы безопасного хеширования. Они предназначены, чтобы не дать легко восстановить исходный пароль, а также чтобы система не пропускала неверные пароли при авторизации. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
К хешам паролей добавляется «соль», чтобы предотвратить атаки с использованием радужных таблиц и существенно замедлить попытки взлома методом полного перебора. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление защиты повышает устойчивость к взлому методом полного перебора как офлайн в случае, если хеши были украдены с сервера, так и онлайн, если не сработает ограничение попыток ввода пароля. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Однако этот метод повышает нагрузку на центральный процессор (CPU) сервера и открывает злоумышленникам вектор атаки DDoS, если количество попыток входа не ограничено. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Надежное усиление защиты помогает в 10000 раз или более замедлить полный перебор офлайн. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение попыток входа защищает от онлайн-атак методом полного перебора, а также от DoS-атак, когда CPU сервера не справляется с нагрузкой, многократно выполняя процедуру усиления защиты паролей. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Если ограничение не установлено, злоумышленник может перебрать огромное количество паролей, каждый раз отправляя запросы на сервер. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Предположим, каждую секунду выполняется 100 попыток (вполне реально для обычного веб-сервера), эффективные процедуры усиления не реализованы, а злоумышленник использует многопоточные вычисления. Таким образом у него получится за один месяц перебрать 259 200 000 паролей! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
В отсутствие какой-либо политики паролей слишком многие пользователи будут выбирать такие пароли, как “123456”, “qwerty” или «пароль», что делает систему уязвимой для атак. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Однако если политика паролей будет слишком жесткой, пользователям придется сохранять или записывать пароли. Это доставляет неудобства и стимулирует людей использовать одни и те же пароли для всех сервисов. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Кроме того, пользователи с надежными паролями, не соответствующими политике, будут вынуждены менять пароли на более сложные для запоминания — и при этом необязательно более безопасные. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль из последовательности 5 слов в нижнем регистре, случайно (!) выбранных из словаря, гораздо надежнее, чем пароль из 8 символов, включающих буквы разного регистра, цифры и знаки препинания. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Учитывайте это при разработке политики паролей для своей системы. |
