| Users re-use passwords for multiple services. |
Les utilisateurs réutilisent les mots de passe pour multiples services. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un attaquant a accès à un serveur et peut obtenir une liste de mots de passe, il est capable de les utiliser pour attaquer d'autres services. |
| Therefore, only password hashes may be stored. |
Par conséquent, ce ne sont que les hash des mots de passe qui pourront êtres stockés. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sécuriser les algorithmes de hashage sont facile à utiliser dans la plupart des langages et assure que les mots de passe originaux ne peuvent être facilement récupérés et que les faux mots de passe ne sont pas faussement acceptés. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Ajouter de la saveur aux hash des mots de passe prévient l'utilisation des tables rainbow et ralentit significativement les tentatives brute-force. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Le renforcement ralentit tout ensemble les attaques brute-force hors ligne contre les hash volés et le brute-force en ligne encas d'échec du taux de limitation. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Cependant, cela augmente la charge CPU (processeur) sur le serveur et ouvrirait un vecteur pour les attaques DDoS si cela n'est pas prévenu avec la limitation des tentatives de connexion (log). |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un bon renforcement peut ralentir les attaques brute-force hors ligne par un facteur de 10000 et plus |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limiter les tentatives de connexion (log) est nécessaire pour prévenir les attaques brute-force en ligne et DDoS via l'utilisation CPU de la procédure de renforcement des mots de passe. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sans une limite, un attaquant (hacker) peut essayer un bon nombre de mots de passe directement contre le serveur. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
En supposant 100 tentatives par seconde, ce qui est raisonnable pour un serveur web normal, sans un renforcement important et un attaquant (hacker) travaillant avec des threads multiples, cela se résulterait en 259 200 000 mots de passe essayés en un seul mois. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Ne pas appliquer aucune politique de mots de passe amenerait beaucoup d'utilisateurs à choisir "123456", "qwerty" ou "password" comme leurs mots de passe, exposant le système aux attaques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Appliquer des politiques strictes de mots de passe forceront les utilisateurs à sauvegarder les mots de passe et à les noter, généralement les agacer et encourager à réutiliser les mêmes mots de passe pour tous les services. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Par ailleurs, les utilisateurs utilisant des mots de passe sécurisés (sûrs) ne correspondant pas aux politiques doivent être forcés à utiliser des mots de passe qui sont difficile à mémoriser, mais pas nécessairement sécurisés (sûrs) |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Un mot de passe composé de 5 mots de dictionnaire minuscule concaténés, aléatoirement choisis est significativement plus sûr (sécurisé) qu'un mot de passe de 8 caractères composé de lettres de casse, nombres et de ponctuation. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Prenez cela en compte si vous n'avez ps de politiques de mots de passe à implémenter, mais à concevoir le vôtre. |
