Users re-use passwords for multiple services. |
Usuários reutilizam senhas para diversos serviços. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um invasor obtiver acesso a um servidor e a uma lista de senhas, ele poderá usar essa senha para atacar outros serviços. |
Therefore, only password hashes may be stored. |
Sendo assim, somente os hashes das senhas podem ser armazenadas. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos de hashes seguros são fáceis de usar na maioria das linguagens e garantem que a senha original não poderá ser facilmente recuperada e que senhas erradas não serão falsamente aceitas. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Adicionar uma sequência randômica de dados aos hashes de senha impede o uso de tabelas arco-íris e retarda significativamente as tentativas de força bruta. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
O reforço retarda tanto os ataques de força bruta off-line contra hashes roubados quanto os de força bruta on-line no caso de a limitação de taxa falhar. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
No entanto, isso aumenta a carga da CPU no servidor e abriria um vetor para ataques DDoS se não for impedido com a limitação de tentativas de login. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom reforço pode retardar ataques de força bruta offline em um fator de 10000 ou mais. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitar as tentativas de login é necessário para prevenir ataques de força bruta online e DoS via uso da CPU pelo procedimento de reforço da senha. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem um limite, um invasor pode tentar um número enorme de senhas diretamente contra o servidor. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Assumindo 100 tentativas por segundo, o que é razoável para um servidor web normal, nenhum reforço significativo e um invasor trabalhando em várias threads, isso resultaria em 259,200,000 tentativas de senha em um único mês! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
A não aplicação de uma política de senhas fará com que muitos usuários escolham "123456", "qwerty" ou "senha" como suas senhas, abrindo o sistema para ataques. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Aplicar políticas de senha muito rígidas forçará os usuários a gravá-las ou anotá-las, geralmente irritando-os e promovendo o reuso da mesma senha em todos os serviços. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, os usuários que usam senhas seguras que não correspondem às políticas podem ser forçados a usar senhas mais difíceis de lembrar, mas não necessariamente seguras. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha consistindo de 5 palavras minúsculas do dicionário, concatenadas e aleatoriamente (!) escolhidas é significativamente mais seguro do que uma senha de 8 caracteres consistindo em letras maiúsculas e minúsculas misturadas, números e pontuação. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Leve isso em consideração se você não tiver uma política se senhas para implementar, mas tem que criar a sua própria. |