Users re-use passwords for multiple services. |
Nutzer verwenden ein Passwort für mehrere Dienste. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Wenn ein Angreifer Zugriff auf einen Server und eine Liste von Passwörtern erlangt, kann er dieses Passwort verwenden, um andere Dienste zu attackieren. |
Therefore, only password hashes may be stored. |
Daher dürfen nur Passwort-Hashes gespeichert werden. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Sichere Hash-Algorithmen sind in den meisten Sprachen einfach zu verwenden und stellen sicher, dass das Original-Passwort nicht leicht entdeckt und falsche Passwörter nicht fälschlicherweise akzeptiert werden. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Das Salzen von Passwort-Hashes verhindert die Verwendung von Rainbow-Tabellen und verlangsamt Brute-Force-Angriffe deutlich. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Die Verstärkung verlangsamt sowohl Offline-Brute-Force-Angriffe gegen gestohlene Hashes wie Online-Brute-Force-Angriffe, falls die Durchsatzverringerung versagt. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Allerdings erhöht es die CPU-Last auf dem Server und würde einen Vektor für DDoS-Attacken öffnen, wenn dies nicht mit einer Login-Versuchsbegrenzung verhindert wird. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Eine gute Verstärkung kann Offline-Brute-Force-Angriffe um den Faktor 10.000 oder mehr verlangsamen. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Die Begrenzung der Anmeldeversuche ist notwendig, um Online-Brute-Force-Angriffe zu verhindern, und DoS über die CPU-Auslastung durch das Passwort-Stärkungsverfahren. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Ohne eine Begrenzung kann ein Angreifer eine sehr große Anzahl von Passwörtern direkt gegen den Server versuchen. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Unter der Annahme von 100 Versuchen pro Sekunde, was für einen normalen Web-Server angebracht ist, ohne signifikante Verstärkung und mit einem Angreifer, der mit mehreren Threads arbeitet, würde dies 259.200.000 versuchte Passwörter in einem einzigen Monat ergeben! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Ohne Passwort-Richtlinienerzwingung werden zu viele Nutzer "123456", "qwertz" oder "password" als ihr Passwort wählen und das System für einen Angriff öffnen. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Zu strenge Passwort-Richtlinienerzwingung wird bei den Nutzern dazu führen, dass sie Passwörter sichern oder aufschreiben, wird sie allgemein nerven und die Mehrfachverwendung eines Passworts für alle Services fördern. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Außerdem werden Nutzer, die sichere Passwörter verwenden, die nicht den Richtlinien entsprechen, gezwungen sein, schwerer zu behaltende, aber nicht notwendigerweise sichere Passwörter zu verwenden. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ein Passwort, das aus 5 verketteten, zufällig (!) gewählten kleingeschriebenen Wörtern aus dem Wörterbuch besteht, ist wesentlich sicherer als ein achtstelliges Passwort aus Groß- und Kleinbuchstaben, Ziffern und Satzzeichen. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Berücksichtigen Sie dies, wenn Sie nicht eine Passwort-Richtlinie erhalten, sondern selbst eine entwerfen müssen. |