| Users re-use passwords for multiple services. |
ユーザーは複数のサービスでパスワードを使い回します。 |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
攻撃者が1つのサーバーにアクセスしてパスワード・リストの入手に成功すると、そのパスワードを利用して他のサーバーを攻撃できる可能性があります。 |
| Therefore, only password hashes may be stored. |
ですので、パスワード・ハッシュのみを保存したほうが良いでしょう。 |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
セキュア・ハッシュ・アルゴリズムはほとんどの言語で簡単に使用でき、元のパスワードを容易に復元したり、間違ったパスワードを誤って受け付けたりすることはありません。 |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
パスワード・ハッシュにソルトを付け加えることでレインボー・テーブルの使用を阻止でき、ブルート・フォースの試みを大幅に減速することができます。 |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
強化することで、盗まれたハッシュへのオフライン・ブルート・フォース攻撃を減速できるだけでなく、万が一レート制限が失敗した場合に備えて、オンライン・ブルート・フォース攻撃も減速することができます。 |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
しかしながら、強化することでサーバーのCPU負荷が増大し、ログイン試行回数に制限を設けていない場合は、DDoS攻撃に侵入経路を与えてしまいます。 |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
うまく強化すると、オフライン・ブルート・フォース攻撃を1000倍以上減速することができます。 |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
パスワードを強化するとCPUの使用率が上がり、オンライン・ブルート・フォース攻撃やサービス妨害を受けやすくなるので、ログイン試行回数に制限を設けて阻止する必要性があります。 |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
制限を設けなければ、攻撃者は直接サーバーに対して莫大な数のパスワードを試すことができます。 |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
1秒間に100個のパスワードを試すとすると(これは通常のウェブ・サーバーで、さしたる強化もせず、攻撃者が複数のスレッドを攻撃しているときの合理的な数ですが)、一か月で259,200,000個のパスワードを試すことになります。 |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
パスワード・ポリシーを強化しなければ、多くのユーザーが「123456」や「qwerty」や「password」を自分のパスワードに選択するので、システムが攻撃されやすくなります。 |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
パスワード・ポリシーを厳しくしすぎると、ユーザーはパスワードを保存したり書き留めたりしないといけなくなり、たいていは煩わしくなって、同じパスワードをすべてのサービスで使い回すようになります。 |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
さらに、ポリシーに合っていなくても安全なパスワードを使っているユーザーが、記憶しておくのがより困難で、必ずしも安全ではないパスワードの使用を強制されるかもしれません。 |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
辞書に載っている小文字の単語を5つランダムに(!)選択して連結させたパスワードのほうが、大文字小文字、数字、句読点を組み合わせた8文字のパスワードよりもはるかに安全です。 |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
適用するパスワード・ポリシーがなく、独自にパスワードポリシーを設定しなければならない場合は、このことを念頭に置くようにしてください。 |
