| Users re-use passwords for multiple services. |
Gli utenti utilizzano le password per più servizi.
|
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se un aggressore ottenesse l’accesso ad un server e riuscisse ad acquisire una lista di password, potrebbe essere in grado di utilizzare questa password per attaccare altri servizi.
|
| Therefore, only password hashes may be stored. |
Pertanto, si dovrebbe memorizzare solo frammenti o stringhe di password (hash).
|
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Gli algoritmi di hashing protetti sono semplici da utilizzare nella maggior parte delle lingue ed assicurano che la password originale non possa essere facilmente recuperata e che password errate non vengano accettate in modo falso.
|
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
L'aggiunta di sali alle stringhe di password previene l'utilizzo delle tabelle arcobaleno e rallenta in modo significativo i tentativi di forza bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Il rafforzamento rallenta sia gli attacchi off-line con forza bruta contro hash rubati, sia la forza bruta on-line nel caso in cui la limitazione del tasso fallisca.
|
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tuttavia, la carica della CPU sul server aumenterebbe e si aprirebbe un vettore per gli attacchi DDoS se non venisse impedito con la limitazione dei tentativi di accesso (login). |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buon rafforzamento può rallentare gli attacchi off-line di forza bruta per un fattore di 10.000 o più.
|
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitazione dei tentativi di accesso è necessaria per prevenire gli attacchi on-line di forza bruta e DoS tramite l'utilizzo della procedura di rafforzamento della password.
|
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Senza un limite, un aggressore può provare un gran numero di password direttamente contro il server.
|
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Supponendo 100 tentativi al secondo, dato ragionevole per un web server normale, senza rafforzamenti significativi e un aggressore che lavori con filoni multipli, questo comporterebbe 259.200.000 tentativi di password in un solo mese! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Non imporre alcuna politica sulle password, condurrebbe troppi utenti a scegliere "123456", "qwerty" o "password" come propria password, aprendo il sistema all'attacco. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Imporre politiche troppo severe costringerebbe gli utenti a salvare le proprie password o scriverle, cosa che generalmente annoia e promuove il riutilizzo della stessa password per tutti i servizi. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
In più, gli utenti che utilizzano password protette che non corrispondono alle politiche, potrebbero essere forzati ad utilizzare password più difficili da ricordare, ma non necessariamente sicure. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una password composta da 5 parole concatenate, scelte in modo casuale (!) fra le parole in minuscolo del dizionario è significativamente più sicura di una password di 8 caratteri composta da lettere miste a numeri e punteggiatura. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenete conto di questo se non avete una politica di password da implementare, ma dovete progettarne una propria. |
