Users re-use passwords for multiple services. |
Los usuarios reutilizan contraseñas para múltiples servicios. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante obtiene acceso a un servidor y puede obtener una lista de contraseñas, el podría utilizar esta contraseña para atacar otros servicios. |
Therefore, only password hashes may be stored. |
Por lo tanto, solo contraseñas hash pueden ser almacenadas. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Los algoritmos de hashing seguros son fáciles de utilizar en la mayoría de lenguajes y aseguran que la contraseña original no pueda ser recuperada fácilmente y que contraseñas incorrectas no sean aceptadas falsamente. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Añadir sal a los hashes de contraseñas previene el uso de tablas arcoiris y ralentiza significativamente ataques de fuerza bruta |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Fortalecer ralentiza ambos, ataques fuera de linea contra hashes robados y fuerza bruta en linea en caso de que la limitación de velocidad falle. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Sin embargo, aumenta la carga del CPU en el servidor y abriría un vector para ataques DDoS si no se previene con limitación de intentos de inicio de sesión. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen fortalecimiento puede ralentizar ataques de fuerza bruta fuera de linea en un factor de 10000 o más. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Es necesario limitar intentos de inicio de sesión para prevenir ataques de fuerza bruta en línea y de DoS a través del uso del CPU del procedimiento de fortalecimiento de contraseña. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sin un limite, un atacante puede intentar un gran número de contraseñas directamente contra el servidor. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Suponiendo 100 intentos por segundo, lo cual es razonable para un servidor web normal, sin fortalecimiento significativo y un atacante trabajando con múltiples procesos resultará en ¡259,200,000 contraseñas probados en un solo mes! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
No hacer cumplir políticas de contraseña conducirá a muchos usuarios eligiendo “123456”, “qwerty” o “password” como su contraseña, abriendo el sistema para un ataque. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Hacer cumplir políticas de contraseña muy estrictas forzará a los usuarios a guardarlas o anotarlas, lo que los molesta generalmente y fomenta usar la misma contraseña para todos los servicios. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Además, usuarios que utilizan contraseñas seguras que no coinciden con las políticas pueden verse forzados a usar contraseñas que son más difíciles de recordar, pero no necesariamente seguras. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña que consiste de 5 palabras de diccionario en minúscula, concatenadas, elegidas al azar (!) es significativamente mas seguro que una contraseña de ocho caracteres conformada por una mezcla de letras mayúsculas y minúsculas, números y signos de puntuación. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Tomar esto en consideración si no tiene una política de contraseñas para implementar, pero tiene que diseñar una propia. |