| Users re-use passwords for multiple services. |
Обычно пользователи используют пароли многократно для нескольких служб. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если злоумышленник получает доступ к одному серверу и может получить список паролей, он может использовать этот пароль для атаки и на другие службы. |
| Therefore, only password hashes may be stored. |
Поэтому разрешено сохранять только хэши паролей. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Безопасные алгоритмы хэширования просты в использовании на большинстве языках и гарантируют, что исходный пароль не может быть легко восстановлен, и что неправильные пароли будут приняты. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Добавление солей к хэшам паролей предотвращает использование радужных таблиц и значительно замедляет попытки полного перебора. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление пароля замедляет как офф-лайн атаки полного перебора против похищенных хэшей, так и он-лайн полный перебор, если ограничение скорости не удается. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Тем не менее, это увеличивает загрузку процессора на сервере и открывает дорогу для DDoS-атак, если они предотвращены ограничением попытки входа. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Хорошее усиление паролей может замедлить офф-лайн атаки полного перебора в 10000 или более раз. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение попыток входа в систему необходимо для предотвращения он-лайновых атак с полным перебором и DoS посредством использования ЦП процедуры усиления пароля. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Без этого ограничения злоумышленник может попробовать очень большое количество паролей непосредственно против сервера. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Предполагая 100 попыток в секунду, что разумно для обычного веб-сервера, без значительного усиления и злоумышленника, работающего с несколькими потоками, это приведет к 259 200 000 паролям, которые были бы подобраны за месяц! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Неисполнение каких-либо полисов паролей может привести к тому, что слишком много пользователей выбирая «123456», «qwerty» или «password» в качестве пароля, открыли бы систему для атаки. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Применение слишком строгих полисов паролей заставило бы пользователей сохранять пароли или записывать их, и как правило, раздражать их и способствовать повторному использованию одного и того же пароля для всех служб. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Кроме того, пользователи, использующие безопасные пароли, не соответствующие полисам, могут быть вынуждены использовать пароли, которые сложнее запомнить, но не обязательно безопасны. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль, состоящий из 5 сцепленный, случайно выбранных словарных слов в нижнем регистре, значительно более безопасен, чем восьмисимвольный пароль, состоящий из букв разного регистра , цифр и знаков препинания. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Учитывайте это, если вы не получите политику паролей для реализации, но должны разработать свой собственный. |
