| Users re-use passwords for multiple services. |
Användare återanvänder lösenord till flertalet tjänster. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Om en angripare får tillgång till en server och kan komma åt en lista med lösenord, så skulle han kunna använda detta lösenord för att angripa andra tjänster. |
| Therefore, only password hashes may be stored. |
Därför får endast lösenordshashar lagras. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Säkra hashalgoritmer är lätta att använda på de flesta språk och säkerställer att det ursprungliga lösenordet inte kan återställas enkelt och att felaktiga lösenord inte falskeligen accepteras. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Att lägga till salt i lösenordshashar förhindrar användandet av regnbågstabeller och saktar ner brute-force-försök avsevärt. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Förstärkningen saktar ner både off-line brute-force attacker mot stulna hash och on-line brute-force om hastighetsbegränsningen misslyckas. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Det ökar dock CPU-belastningen på servern och skulle öppna en vektor för DDoS-attacker om det inte förhindras med begränsning av inloggningsförsök. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
En bra förstärkning kan sakta ner off-line brute-force attacker med en faktor på 10000 eller mer. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Att begränsa inloggningsförsök är nödvändigt för att förhindra on-line brute-force-attacker och DoS via CPU-användning av lösenordsförstärkningsproceduren. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Utan en gräns, kan en angripare prova ett mycket stort antal lösenord direkt mot servern. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Om man antar 100 försök per sekund, vilket är rimligt för en normal webbserver, ingen nämnvärd förstärkning och en angripare som arbetar med flera trådar, skulle detta resultera i 259,200,000 lösenord prövade under en enda månad! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Att inte tillämpa några lösenordspolicyer kommer att leda till att för många användare väljer "123456", "qwerty" eller "lösenord" som sina lösenord, vilket öppnar upp systemet för attack. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Genom att upprätthålla alltför strikta lösenordspolicyer kommer användarna att tvingas spara lösenord eller skriva ner dem, irritera dem i allmänhet och främja återanvändning av samma lösenord för alla tjänster. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Dessutom kan användare som använder säkra lösenord som inte matchar policyerna tvingas använda lösenord som är svårare att komma ihåg, men som inte nödvändigtvis är säkra. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ett lösenord som består av 5 sammanlänkade, slumpmässigt (!) valda ord i små bokstäver i ordboken är betydligt säkrare än ett lösenord på åtta tecken som består av blandade versaler, siffror och skiljetecken. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Ta hänsyn till detta om du inte får en lösenordspolicy att implementera, utan måste designa din egen. |
