| Users re-use passwords for multiple services. |
ユーザーは複数のサービスを利用するため、パスワードを再利用します。 |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
もし、攻撃者へ1つのサーバーのアクセスを許し、パスワード一覧が入手されると、そのパスワードを利用して他のサービスが攻撃される可能性があります。 |
| Therefore, only password hashes may be stored. |
したがって、パスワードのハッシュ化のみ保存されることがあります。 |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
ハッシュアルゴリズムの安全性は、ほとんどの言語で使いやすく、また、元のパスワードを容易に復元できないようにし、間違ったパスワードが誤って受理されないよう保証します。 |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
ソルトを加えたパスワードのハッシュ化は、レインボーテーブルの使用を抑え、ブルートフォースの試行が大幅に遅くなります。 |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
強化することで、盗まれたハッシュに対するオフライン時のブルートフォース攻撃と、レート制限が失敗した場合のオンライン時のブルートフォースアタックの両方が遅くなります。 |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
ただし、サーバーのCPU負荷が増加し、ログイン試行の制限で防止されない場合、DDoS攻撃の経路が開かれます。 |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
適切に強化すると、オフライン時のブルートフォース攻撃を10000倍以上の要素により遅くすることができます。 |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
パスワードの強化手順のCPU使用によるオンライン時のブルートフォース攻撃とDoSを防ぐには、ログイン試行を制限する必要があります。 |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
制限なしに、攻撃者は非常に多くのパスワードをサーバーに対して直接試すことができます。 |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
1秒あたり100回の試行を想定しますが、これは通常のWebサーバーにとっては妥当であり、大幅な強化はなく、攻撃者が複数のスレッドで作業すると、1か月で259,200,000個のパスワードが試行されます。 |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
パスワードポリシーを適用しないと、多くのユーザーがパスワードとして「123456」、「qwerty」、または「password」を選択することになり、システムが攻撃を受けやすくなります。 |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
厳密すぎるパスワードポリシーを適用すると、ユーザーはパスワードを保存するか、書き留める必要があります。通常は、それらのユーザーを苛立たせ、すべてのサービスで同じパスワードを再利用します。 |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
さらに、ポリシーに一致しない安全なパスワードを使用しているユーザーは、覚えにくいが必ずしも安全ではないパスワードの使用を強制される場合があります。 |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
小文字で辞書にある単語をランダムに5つ選択し連結させたパスワードは、大文字と小文字、数字、句読点が混在する8文字のパスワードよりもはるかに安全です。 |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
実装するパスワードポリシーを取得していないが、独自に設計する必要がある場合は、これを考慮してください。 |
