| Users re-use passwords for multiple services. |
사용자들은 다양한 서비스들을 이용하기 위해 사용한 비밀번호를 다시금 사용한다. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
만약 해커가 어떤 서버에 대한 접근권한을 얻어 사용자들의 비밀번호 목록을 얻게 된다면 이것을 이용해 다른 서버들 또한 접근할 수 있게 될 것이다. |
| Therefore, only password hashes may be stored. |
그러므로 비밀번호는 암호화되어 저장되어야 할 것이다. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
보안 해싱 알고리즘은 대부분의 언어에서 사용하기 쉬우며 원래의 비밀번호로 쉽게 복원되지 않도록할 뿐 아니라 오입력된 비밀번호가 잘못 승인되지 않도록 보장한다. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
비밀번호 해시에 무작위 비트를 추가하는 방법은 레인보우 테이블의 사용을 예방하며 브루트 포스 시도를 상당히 느리게 할 수 있다. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
해시를 훔쳐가는 오프라인 브루트 포스 기법이나 레이트의 제한을 해제시키는 온라인 브루트 포스 기법들을 강력하게 느리게 한다. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
그러나 서버에서 CPU 사용량을 증가시키고 로그인 시도 제한을 통해 막지 못하게되면 DDoS 공격에 취약해진다. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
강력한 장점은 만 개 이상의 요소들로 인한 오프라인 브루트 포스 공격을 늦출 수 있다는 것이다. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
로그인 시도 제한은 온라인 브루트 포스 공격이나 비밀번호 강화 절차의 CPU 사용을 통한 DoS를 예방하는데 필수적이다. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
제한을 두지 않으면 해커는 서버에 직접적으로 대량의 비밀번호를 시도할 수 있다. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
일반적인 웹 서버에는 1초에 백 번의 시도면 적합하며 여러 스레드를 이용해 공격하는 해커라면 한 달에 259.200.000 번의 비밀번호 시도가 발생한다. |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
비밀번호에 대한 어떠한 정책도 취하지 않을 시에 많은 사용자들이 비밀번호로 "123456", "qwerty" 혹은 "password"를 사용하고 있어 공격을 위해 사용될 수 있다. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
너무 엄격한 비밀번호 정책을 취할 시 사용자들이 비밀번호를 저장하거나 적어놓는 것을 강요하게 되므로 일반적으로 이것에 대해 스트레스를 받고 같은 비밀번호를 다시 사용하게 된다. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
게다가 비밀번호 정책에 대응하지 않는 비밀번호를 사용하는 사람들은 어렵게 기억하지 않아도 되지만 보안에 취약해진다. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
무작위로 선정된 소문자 5개 딘어로 이루어진 비밀번호는 대소문자, 숫자 그리고 구두점으로 이루어진 8개 단어의 비밀번호보다 더 안전하다. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
만약 당신이 비밀번호 정책을 시행하지 않았다면 당신의 계정에 이것을 사용해라, 하지만 당신만의 것을 만들어야 한다. |
