Users re-use passwords for multiple services. |
Les utilisateurs réutilisent les mots de passe pour plusieurs services. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un attaquant accède à un serveur et peut se procurer une liste de mots de passe, il peut être à même d'utiliser ces mots de passe pour attaquer d'autres services. |
Therefore, only password hashes may be stored. |
Donc, seuls les hachages de mot de passe peuvent être stockés. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Les algorithmes de hachage sécurisés sont faciles à utiliser dans la plupart des langues et garantissent que le mot de passe d'origine ne peut pas être facilement récupéré et que les mots de passe erronés ne sont pas faussement acceptés. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Le salage de hachages de mots de passe empêche l'utilisation des tables arc-en-ciel (rainbow tables) et ralentit considérablement les tentatives de force brute. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Le renforcement ralentit à la fois les attaques par force brute hors ligne contre les hachages volés et la force brute en ligne au cas où la limitation du débit échouerait. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Cependant, cela augmente la charge du processeur sur le serveur et ouvrira un vecteur pour les attaques DDoS si elles ne sont pas empêchées par la limitation des tentatives de connexion. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un bon renforcement peut ralentir les attaques par force brute hors ligne d'un facteur de 10 000 ou plus. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitation des tentatives de connexion est nécessaire pour empêcher les attaques en force brute en ligne et les DoS via l'utilisation par l'unité centrale de la procédure de renforcement du mot de passe. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sans limitation, un attaquant peut essayer un très grand nombre de mots de passe directement sur le serveur. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
En supposant 100 tentatives par seconde, ce qui est raisonnable pour un serveur Web normal, sans aucun renforcement significatif et avec un attaquant travaillant avec plusieurs threads, cela se traduirait par 259 200 000 mots de passe testés en un seul mois ! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Ne pas appliquer de politique de mot de passe entraînera un nombre trop important d'utilisateurs qui choisiront « 123456 », « azerty » ou « mot de passe » comme mot de passe, exposant le système aux attaques. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
L'application de règles de mot de passe trop strictes forcera les utilisateurs à enregistrer les mots de passe ou à les écrire, finira par les contrarier et les incitera à réutiliser le même mot de passe pour tous les services. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
En outre, des utilisateurs utilisant des mots de passe sécurisés ne respectant pas les règles peuvent se voir forcés à utiliser des mots de passe plus difficiles à mémoriser, mais pas nécessairement sécurisés. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Un mot de passe composé de 5 mots de dictionnaire en minuscules concaténés et choisis aléatoirement (!) est significativement plus sécurisé qu'un mot de passe de huit caractères composé de lettres, de chiffres et de ponctuations mélangés. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Prenez cela en compte si on ne met pas à votre disposition une stratégie de mots de passe à mettre en œuvre et que vous devez créer le vôtre. |