Users re-use passwords for multiple services. |
Gli utenti riutilizzano le password per molteplici servizi. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se un attaccante ottiene l'accesso a un server, ottenendo un elenco di password, potrebbe essere in grado di utilizzare tali password per attaccare altri servizi. |
Therefore, only password hashes may be stored. |
Quindi vengono memorizzati solo gli hash delle password. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmi sicuri per la generazione degli hash sono di facile uso nella maggior parte dei linguaggi e assicurano che la password originale non possa essere facilmente recuperata e che le password scorrette non vengano accettate erroneamente. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Aggiungendo dei "sali" agli hash delle password si impedisce l'utilizzo di tabelle arcobaleno e si rallentano notevolmente i tentativi di accesso con attacchi brute force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Il rafforzamento rallenta sia gli attacchi brute force offline sugli hash rubati che quelli online in caso di fallimenti nella limitazione dei tentativi. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Comunque, questo incrementa il carico sulla CPU del server e può aprire un vettore per attacchi DDoS se non previsto con una limitazione dei tentativi di accesso. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buon rafforzamento può rallentare gli attacchi brute force offline fino a un fattore di 10000 o più. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitazione dei tentativi di accesso è necessaria per impedire gli attacchi brute force online e il DoS sull'utilizzo della CPU da parte della procedura di rafforzamento. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Senza un limite, un attaccante potrebbe provare un'enorme quantità di password direttamente sul server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumendo che vengano fatti 100 tentativi al secondo, cosa ragionevole per un normale server web, senza un significativo rafforzamento e un attaccante che lavori con thread multipli, questo potrebbe risultare in 259.200.000 password tentate in un singolo mese! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Il non imporre nessuna regola sulle password porterebbe troppi utenti a scegliere "123456", "qwerty" o "password" come propria password, rendendo il sistema vulnerabile agli attacchi. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Imponendo regole sulle password troppo rigide si porteranno gli utenti a salvare le password o a trascriverle, in genere li si infastidirà e si aprirà la porta al riutilizzo della stessa password per tutti i servizi. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Inoltre, gli utenti che utilizzano password sicure che non soddisfino le regole verranno spinti a utilizzare password più difficili da ricordare, ma non necessariamente sicure. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una password che consista di cinque parole del dizionario concatenate, scelte a caso (!) e scritte in minuscolo è notevolmente più sicura di una password di otto caratteri che consiste in lettere maiuscole e minuscole, numeri e punteggiatura. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenetelo in considerazione se non avete regole sulle password da implementare ma dovete crearle da voi. |