Users re-use passwords for multiple services. |
Gli utenti riutilizzano parole chiave per servizi multipli. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se un attaccante ottiene accesso ad un server e può ottenere un elenco di parole chiave, egli può essere in grado di utilizzare questa parola chiave per attaccare altri servizi. |
Therefore, only password hashes may be stored. |
Quindi, possono essere memorizzati solo hash di parole chiave. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Gli algoritmi di hashing sicuro sono facili da utilizzare nella maggior parte delle lingue ed assicurano che la parola chiave originale non possa essere facilmente recuperata e che parole chiave sbagliate non siano falsamente accettate. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
L'aggiunta di salt agli hash di parole chiave impedisce l'utilizzo di tabelle arcobaleno e rallenta significativamente i tentativi di forza bruta. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Il rafforzamento rallenta entrambi gli attacchi di forza bruta contro gli hash rubati e la forza bruta in linea nel caso in cui fallisca la limitazione della velocità. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tuttavia, esso aumenta il carico della CPU sul server ed aprirebbe un vettore per attacchi DDoS se non viene impedito con la limitazione del tentativo di accesso. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buon rafforzamento può rallentare gli attacchi di forza bruta di un fattore di 10.000 o più. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitazione di tentativi di accesso è necessaria per impedire attacchi di forza bruta e DoS tramite l'utilizzo della CPU della procedura di rafforzamento della parola chiave. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Senza un limite, un attaccante può provare un numero molto grande di parole chiave direttamente contro il server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Ipotizzando 100 tentativi al secondo, il che è ragionevole per un server web normale, nessun rafforzamento significativo ed un attaccante che lavora con thread multipli, ciò risulterebbe in 259.200.000 parole chiave provate in un singolo mese!
|
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Non imporre alcuna politica di parola chiave condurrebbe a troppi utenti che scelgono "123456", "qwerty" o "parola chiave" come loro parola chiave, aprendo il sistema per un attacco. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Imporre politiche di parole chiave troppo rigorose costringerebbe gli utente a salvare le parole chiave o di scriverle, generalmente infastidendoli e a favorire il riutilizzo della stessa parola chiave per tutti i servizi. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Per di più, gli utenti che utilizzano parole chiave sicure che non corrispondono alle politiche possono essere costretti ad utilizzare parole chiave che sono più difficili da ricordare, ma non necessariamente sicure. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una parola chiave consistente in 5 parole concatenate del dizionario minuscole, scelte casualmente (!) è significativamente più sicura di una parola chiave ad otto caratteri consistente in lettere maiuscole e minuscole, numeri e punteggiatura misti. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenere conto di ciò se non si ottiene una politica di parole chiave da implementare, ma si deve progettarne una propria. |