| Users re-use passwords for multiple services. |
Os usuários usam a mesma senha para vários serviços. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se o invasor ganha acesso a um servidor e conseguir acessar uma lista de senhas,
ele poderá usá-las para atacar outros serviços. |
| Therefore, only password hashes may be stored. |
Portanto, somente os hashes das senhas podem ser armazenados. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Na maioria dos idiomas, os algoritmos de hashing seguros são fáceis de usar. Eles também garantem de que as senhas originais não possam ser recuperadas facilmente e que as senhas incorretas não sejam falsamente aceitas. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Ao adicionar sais aos hashes da senha é possível evitar o uso de mesas de arco-íris e diminuir de forma significante ataques de força bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
O fortalecimento desacelera tanto os ataques offline e online de força bruta contra hashes roubados caso a limitação de velocidade falhe. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Entretanto, se os ataques não forem evitados com a limitação de tentativas de login, ele aumenta a carga da CPU no servidor e abre um vetor para ataques DDoS. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom fortalecimento pode desacelerar ataques de força bruta offline para um fator de 10000 ou mais. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
É necessário limitar as tentativas de login para evitar ataques de força bruta online e DoS com o procedimento de fortalecimento de senha utilizado pela CPU. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Se não houver um limite, um invasor pode tentar um número muito grande de senhas diretamente contra o servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumindo 100 tentativas por segundo, o que é razoável para um servidor de web normal, sem um fortalecimento significativo e um invasor que trabalha com vários threads, o resultado seria 259.200.000 senhas testadas em um único mês! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
O não cumprimento de qualquer política de senha pode levar muitos usuários a escolherem “123456”, “qwerty” ou “senha” como senha, abrindo o sistema para ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
O uso de políticas de senha muito rígidas forçará os usuários a salvar senhas ou anotá-las, o que geralmente é um incômodo e os incentivam a reutilizar a mesma senha para vários serviços. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, usuários que usam senhas seguras que não correspondem às políticas podem ser forçados a usar senhas que são mais difíceis de lembrar, mas não que sejam necessariamente seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha que consiste em 5 palavras de dicionário em minúsculo e encadeadas, escolhidas aleatoriamente (!) é significativamente mais segura do que uma senha de oito caracteres que contenha letras minúsculas, números e pontuação. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Leve isso em consideração se você não necessita implementar uma política de senha, mas pode criar a sua própria. |
