Users re-use passwords for multiple services. |
Nhiều người dùng sử dụng lại mật khẩu cho nhiều dịch vụ. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Nếu một kẻ tấn công giành được quyền truy cập vào một máy chủ và có thể có được danh sách mật khẩu, anh ta có thể sử dụng mật khẩu này để tấn công những dịch vụ khác. |
Therefore, only password hashes may be stored. |
Do dó, chỉ những password hash mới có thể được lưu trữ. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Các thuật toán hash an toàn rất dễ sử dụng trong hầu hết các ngôn ngữ và đảm bảo mật khẩu ban đầu không thể được phục hồi dễ dàng và những mật khẩu sai thì không được chấp nhận. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Thêm salt vào những password hash sẽ ngăn ngừa việc sử dụng rainbow table và làm chậm lại đáng kể các tấn công brute-force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Việc tăng cường làm chậm cả cuộc tấn công brute-force ngoại tuyến chống lại các vụ đánh cắp và bruce-force trực tuyến trong trường hợp rate limiting không thành công. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tuy nhiên, nó làm tăng tải CPU trên máy chủ và sẽ mở một vectơ cho các cuộc tấn công DDoS nếu không được ngăn chặn với login attempt limiting. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Việc tăng cường tốt có thể làm chậm các cuộc tấn công bruce-force ngoại tuyến giảm xuống theo hệ số 10000 trở lên. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Việc giới hạn login attempt là cần thiết để ngăn chặn các cuộc tấn công bruce-force trực tuyến và DoS thông qua việc sử dụng CPU của trình tự tăng cường mật khẩu. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Không có giới hạn, kẻ tấn công có thể trực tiếp thử một số lượng lớn password với máy chủ. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Giả sử 100 lần thử mỗi giây, điều này hợp lý cho một máy chủ web bình thường, không có sự tăng cường đáng kể và kẻ tấn công làm việc với nhiều luồng, điều này sẽ dẫn đến 259.200.000 mật khẩu được thử trong một tháng! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Không thực thi bất kỳ chính sách mật khẩu nào sẽ dẫn đến việc có quá nhiều người dùng chọn "123456", "qwerty" hoặc "password" làm mật khẩu của họ, tạo lỗ hổng cho cuộc tấn công.
|
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Thực thi chính sách mật khẩu quá nghiêm ngặt sẽ buộc người dùng lưu mật khẩu hoặc ghi lại chúng, nói chung làm phiền họ và khuyến khích sử dụng lại cùng một mật khẩu cho tất cả các dịch vụ. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Hơn nữa, người dùng sử dụng mật khẩu an toàn không khớp với những có thể bị buộc sử dụng mật khẩu khó nhớ hơn, nhưng không nhất thiết phải bảo mật. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Một mật khẩu bao gồm 5 từ trong từ điển viết thường được ghép nối ngẫu nhiên (!) được bảo mật hơn so với mật khẩu tám ký tự bao gồm các chữ cái, số và dấu chấm câu. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Hãy tính đến điều này nếu bạn không có chính sách mật khẩu để thực hiện mà phải tự thiết kế. |