Users re-use passwords for multiple services. |
Люди часто используют одни и те же пароли для разных сервисов. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если злоумышленник получит доступ хотя бы к одному серверу и похитит список паролей, он сможет использовать эти пароли для атаки на другие сервисы. |
Therefore, only password hashes may be stored. |
По этой причине допустимо только хранение хэш-кодов паролей. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Надежные алгоритмы хэширования легко применимы для большинства языков. Они усложняют восстановление паролей для злоумышленников и не позволяют системе ошибочно принимать неподходящие пароли. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Использование так называемой соли (модификаторов) в хэш-кодах паролей исключает возможность применения радужных таблиц для взлома и значительно замедляет атаки методом полного перебора. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление паролей замедляет анализ похищенных хэш-кодов методом полного перебора как оффлайн, так и онлайн в случае, если не сработала защита путем ограничения скорости передачи данных. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Однако при этом возрастает нагрузка на серверные процессоры и открывается вектор для DDoS-атак, если не предусмотрено ограничение количества попыток входа. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Хорошее усиление пароей может замедлить оффлайн-атаку методом полного перебора в 10000 раз и более. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение количества попыток входа необходимо для предотвращения атак методом полного перебора онлайн, а также DoS-атак, которые становятся возможными за счет возрастания нагрузки на центральный процессор при усилении паролей. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
При отсутствии такого ограничения злоумышленники могут перебирать огромное количество паролей прямо на сервере. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Так, если предположить, что число попыток составляет 100 в секунду (а это вполне нормально для обычного веб-сервера), существенное усиление паролей отсутствует, а злоумышленник использует несколько потоков одновременно, всего за месяц он сможет перебрать 259 200 000 паролей! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Отсутствие политики сложности паролей приводит к тому, что слишком многие пользователи ограничиваются элементарными вариантами типа «123456», «qwerty» или «password», создавая условия для атаки на систему. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
С другой стороны, чрезмерно строгие требования вынуждают пользователей сохранять или записывать пароли, раздражают их и побуждают использовать один пароль для всех сервисов. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Кроме того, если созданный пользователем сильный пароль не соответствует принятой политике сложности, он может быть вынужден использовать более трудный для запоминания, но притом вовсе не обязательно надежный пароль. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль, состоящий из 5 слитно написанных случайным (!) образом выбранных словарных слов намного надежнее, чем пароль из восьми символов, среди которых буквы в разных регистрах, цифры и знаки препинания. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Принимайте это во внимание, если вам предстоит разработать собственную политику сложности паролей вместо использования уже готовых вариантов. |