Users re-use passwords for multiple services. |
Usuários reutilizam senhas em múltiplos dispositivos. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um invasor conseguir acesso a um servidor e obter a lista de senhas, ele poderá utiliza-las para atacar outros serviços. |
Therefore, only password hashes may be stored. |
Portanto, somente a hash das senhas podem ser armazenadas. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos seguros para geração de hash são fáceis de se utilizar na maioria das linguagens, e garantem que a senha original não seja recuperada facilmente bem como senhas incorretas não sejam falsamente aceitas. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Adicionar dados aleatórios à hash das senhas previne o uso de rainbow tables* e diminui de forma significante as tentativas de ataques através de força bruta.
*rainbow table; expressão de língua inglesa que se refere a alguma tabela contendo uma lista de hash pré calculadas. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
O fortalecimento de hash diminui tanto os ataques offline de força bruta contra hashes roubadas quanto os ataques online em casos de falha no limite de tentativas. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Entretanto, isto aumenta a utilização de CPU no servidor e pode abrir uma brecha para ataques DDoS se não for aplicado limite de tentativas de login . |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom fortalecimento de hash pode diminuir os ataques offline de força bruta em 10 mil vezes ou mais. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
É necessário limitar as tentativas de login para prevenir ataques de força bruta online e ataques DoS através do uso de CPU durante o processo de fortalecimento. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem um limite, o invasor possui um numero imenso de tentativas de senhas diretamente contra o servidor. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Supondo 100 tentativas por segundo, o que seria considerado razoável para um servidor web normal, nenhum fortalecimento de hash significante e um invasor trabalhando com múltiplos programas, isso resultaria em 259.200.00 tentativas de senhas em um único mês. |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Não forçar nenhuma política de senha levaria muitos usuários a escolherem "123456", "QWERTY" ou "senha" como suas senhas, abrindo o sistema para ataques. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Aplicando políticas de senhas muito restritivas forçaria os usuários a salvarem ou anotarem suas senhas, geralmente aborrecidos adotam a mesma senha para todos os serviços. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, usuários usando senhas seguras que não seguem a política de senhas talvez sejam forçados a usar senhas muito mais difíceis de lembrar, mas não necessariamente mais seguras. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha composta por 5 caracteres randômicos minúsculos é significantemente mais segura que uma composta por 8 caracteres misturados entre letras, números e pontuações. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Leve isso em consideração se você não possui uma política de senha para implementar, mas necessita planejar sua própria. |