| Users re-use passwords for multiple services. |
Gli utenti riutilizzano le stesse password per molteplici servizi. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se un hacker ottenesse l'accesso ad un server, e riuscisse ad ottenere la lista delle password, potrebbe essere in grado di usare queste password per infiltrarsi anche in altri servizi. |
| Therefore, only password hashes may be stored. |
Dunque, solo gli hash delle password dovrebbero essere memorizzate nel database. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmi di hashing sicuri sono facili da usare nella maggior parte dei linguaggi e assicurano che non sia possibile risalire facilmente alla password originale e che allo stesso tempo non vengano erroneamente accettate delle password errate. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Aggiungere del "sale" agli hash delle password previene l'uso delle rainbow table e rallentano significativamente gli attacchi brute-force. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Il rafforzamento rallenta sia gli attacchi brute-force offline sugli hash rubati sia quelli online nel caso in cui il limite di velocità fallisca. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tuttavia, aumenta anche il carico della CPU sul server e potrebbe offrire un vettore per gli attacchi DDoS, se non già impediti da una limitazione dei tentativi di accesso |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buon potenziamento può rallentare gli attacchi brute-force offline di un fattore pari o superiore a 10000. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitare i tentativi di accesso è necessario per prevenire attacchi brute-force online e DoS tramite l'utilizzo della CPU della procedura di rafforzamento della password. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
In assenza di un limite, un utente malintenzionato potrebbe provare un numero molto elevato di password direttamente sul server. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Supponendo, per esempio, 100 tentativi al secondo, ragionevole per un normale web server nessun rafforzamento significativo e un utente malintenzionato che lavora con più thread, ciò risulterebbe in 259.200.000 password provate in un solo mese! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
La mancata applicazione delle politiche relative alle password porterebbe troppi utenti a scegliere "123456", "qwerty" o "password" come password, rendendo il sistema vulnerabile ad un attacco. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
L'applicazione di criteri di password troppo rigorosi costringerebbe gli utenti a salvare le proprie password o a trascriverle, e in generale li infastidirebbe, favorendo così il riutilizzo della stessa password per tutti i servizi. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Inoltre, gli utenti che già utilizzano password sicure ma che non corrispondono ai criteri potrebbero essere costretti a utilizzare password più difficili da ricordare, ma non necessariamente più sicure. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una password composta da 5 parole scelte casualmente (!) dal dizionario, in minuscolo e concatenate, è significativamente più sicura di una password di otto caratteri composta da un mix di lettere, numeri e punteggiatura. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tienine conto se non dovessi ottenere una policy per le password da implementare, ma dovessi progettarne una tua. |
